HTTPS tabanlı dahili APT deposu için kendinden imzalı bir SSL sertifikası kullanma

Bazı özel paketlerle dahili kullanım için bir Debian deposu (aslında Ubuntu) kurdum ve şimdi web üzerinden bazı belirli sunuculara kullanılabilir hale getirmek istiyorum. HTTPS kullanarak bağlanabilmek için apt-get / aptitude istiyorum ve kendinden imzalı bir sertifika kullanıyorum para harcamak istemediğim için.

Ev sahibi doğrulamak için kendi kök CA sertifikamı kullanmak için apt-get işaret eden apt.conf adam sayfasını takip etmeyi denedim, ancak işe yaramıyor.

Apt.conf dosyam şöyle görünüyor:

#Acquire::https::repo.mydomain.com::Verify-Peer "false";
Acquire::https::repo.mydomain.com::CaInfo      "/etc/apt/certs/my-cacert.pem";
Acquire::https::repo.mydomain.com::SslCert     "/etc/apt/certs/my-cert.pem";
Acquire::https::repo.mydomain.com::SslKey      "/etc/apt/certs/my-key.pem";

Ayrıca bir istemci sertifikası kullanıyorum, ancak Verify-Peer'ı "false" (yukarıda yorumladı) olarak ayarladığımda her şey işe yaradığından bir sorun gibi görünmüyor.

Aynı CA sertifikasını kullanarak, istemci sertifikası ve anahtarı curl ile iyi çalışır.

Uygun hata ayıklamayı etkinleştirdim (Debug :: Acquire :: https "true") ama çok az bilgi sunuyor.

Nasıl devam edeceğiniz konusunda herhangi bir öneriniz var mı?

İstemci kimlik doğrulamasını, yalnızca HTTPS'yi kullanmıyorum, ancak yalnızca bunu kullanarak çalışmaya başladım:

Acquire::https {
        Verify-Peer "false";
        Verify-Host "false";
}

Bunu altındaki bir dosyaya koydum /etc/apt/apt.conf.d.

Son zamanlarda benzer bir sorunla karşılaştım. SslForceVersionSeçenek ekleyerek çözdüm.

Benim yapılandırma gibi:

Acquire::https::test.com {
    Verify-Peer "true";
    Verify-Host "true";

    CaInfo "/tmp/ca.crt";

    SslCert "/tmp/client.crt";
    SslKey  "/tmp/client.key";
    SslForceVersion "SSLv3";
};

Gelen Ask Ubuntu , tek bir ana bilgisayara seçeneği sınırlı bir miktar daha basit bu çözümün sürümü ve bir tane buldum.

Acquire::https::mirror.ufs.ac.za::Verify-Peer "false";

Bu benim için çalıştı.

Ancak buradaki soru soran, kimlik doğrulamasını korumak istedi; Yukarıdaki satırlarda birkaç şey denedim, ancak çalışmasını da sağlayamadım. Diğer yandan, havuzum imzalandığından ve imzalama anahtarını yüklediğimden, SSL kimlik doğrulaması güvenlik için kritik değildir.

Ca sertifikasını kurarak başka bir şekilde çözdüm.

1. Senin Kopya *.crt/ usr / local / share / ca-sertifika `dosyayı /
2. Çalıştırmak sudo update-ca-certificates

Bu çözüm en azından Ubuntu 14.04 ile çalışır.

Umarım bu başkalarına yardımcı olur - Bunu doğrudan çözemedim.

Geçici bir çözüm olarak, HTTPS veri havuzuma tünel oluşturmak için stunnel4 kullanıyorum. Kendinden imzalı sertifikalar ve müşteri sertifikası stunnel4 ile çok iyi çalışıyorum.

Localhost üzerinde dinlemek için stunnel ayarladım: gelen bağlantılar için 8888 ve bunları repo'ma yönlendirdim (repo.etkialanim.com:443). Http: // localhost: 8888 / adresindeki veri havuzumu arayacak şekilde ayarladım .

Şimdiye kadar bu iyi çalışıyor, ancak gereksiz bir kesmek gibi görünüyor.

GnuTLS veya apt arabası gibi görünüyor. Apt sources.list dosyasındaki ana bilgisayar adı, depo web sunucumdan Apache SunucuAdı ile eşleşmiyorsa TLSv1 kullanarak aşağıdaki hatayı alıyorum:

W: https: //repo.example/debian/dists/unstable/non-free/binary-amd64/Paket : gnutls_handshake () başarısız oldu: Bir TLS uyarı uyarısı alındı.

SSLv3 kullanarak her şey yolunda gidiyor.

Not: Bunun SSL sertifikası ile ilgisi yoktur. Geçersiz bir sertifika aşağıdaki hataya neden olur:

Hata https: //repo1.örnek kararsız / özgür olmayan i386 Paketler SSL: sertifika konu adı (repo.example) hedef ana bilgisayar adıyla 'repo1.example' eşleşmiyor