Certbot ile test etmek için bir X509 sertifikası nasıl oluşturulur?

Certbot'un nasıl kullanılacağını anlamıyorum . Denedim:

sudo certbot certonly --email hello@world.com --webroot -w . -d chris.ca

ve bana şunu söylüyor:

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: chris.ca
   Type:   unauthorized
   Detail: Invalid response from
   http://chris.ca/.well-known/acme-challenge/Hp97XAo-GFK2jnv9WU9qJ12Hg5cI4ldxDkBbXLt-Vf4:
   "<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
   "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
   <h"

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A record(s) for that domain
   contain(s) the right IP address.

Test için kendi kullanımım için bir sertifika oluşturmak istiyorum. Peki bunu nasıl başarabilirim? Tarayıcının kabul edeceği bir sertifikayı nasıl oluşturabilirim?

Belki SSL protokolünün nasıl uygulandığını anlamıyorum. Ancak kendi sertifikalarımı oluşturduğumda ve web sayfamı https ile nginx aracılığıyla sunduğumda, tarayıcı httpsadres çubuğuna çarptı . Ayrıca programım https yerine normal http istekleri alıyordu.

Öyleyse, tarayıcının kabul edeceği bir sertifikayı oluşturmak için certbot'u nasıl kullanırım veya https için bir test ortamı nasıl kurarım?

— Jenia Ivanov
kaynak

Mevcut rehberlerin listesini kontrol ettin mi? Görünüşe göre chris.ca şu anda herhangi bir içerik sunmuyor mu? Birden çok yönlendirme var mı? Kendinden imzalı bir sertifika istiyorsanız, çok sayıda öğretici var ancak kendinden imzalı bir sertifikanın varsayılan olarak asla kabul edilmeyeceğini unutmayın. Web siteniz aslında yanlış içeriğe hizmet ediyor. Bağlantı , kimlik doğrulaması için gereken mesajı iletmek yerine http://chris.ca/.well-known/acme-challenge/Hp97XAo-GFK2jnv9WU9qJ12Hg5cI4ldxDkBbXLt-Vf4yönlendirir bonte.ca.

— Seth,

accepted by default, tarayıcıyı sertifikamı kabul edecek şekilde yapılandırabilir miyim? Diyelim ki https artık dışarı atılmıyor mu?

— Jenia Ivanov

Kendinden imzalı bir tane ile kendi CA'nızı çalıştırmanız ve CA sertifikasını güvenilir CA'ların tarayıcı deposuna aktarmanız gerekir. Bundan sonra, bu CA tarafından verilen sertifikalar (örneğin sunucunuz için) artık "kırmızı" olmaz. Bu, yalnızca CA'larınızın kök sertifikasını mağazalarına alan kişiler için geçerlidir.

— Seth

Başarısız bir şekilde güvenilir kök sertifikalarına (buna benzer bir şey) aktarmayı denedim. Öyleyse soruyu soruyorum, nginx'in okuduğu iki .pem dosyasından bir CA'yı başarıyla nasıl oluşturursunuz?

— Jenia Ivanov

Bu ne yaptığına bağlı. CA anahtarınızı bir CSR imzalamak ve sunucunuz için bir CRT oluşturmak için kullanırsınız. Bundan sonra CA CRT'nizi Sertifika Mağazanıza aktarır ve nginx'e imzalı CRT'yi ve onun özel anahtar dosyasını kullanmasını söylersiniz. Bu, bir Ara CA'sız, bir paket oluşturup daha fazlasını imzalamanız gerektiği anlamına gelir. Ancak yine de: Bu, yalnızca sizin kök CRT'yi içe aktardığınız kontrolünüz altındaki bilgisayarlar için çalışıyor. Web sunucusu yapılandırmanızı acme mücadelesine izin verecek şekilde düzeltmek, çoğu tarayıcı tarafından kabul edilen bir sertifika alır.

— Seth,

Etki alanının sahibi olduğunuzu doğrulamak için webroot yöntemini seçtiniz. Bu nedenle, .well-known/acme-challenge/belirli bir içeriğe hizmet etmesi gereken dosyaya yerleştirilir (genellikle dosya adı). Ancak web siteniz (herhangi bir isteği yönlendirdiği için bonte.ca) bu içeriği sunmuyor, bunun yerine bir miktar HTML (bunun başlangıcını hatada görebilirsiniz).

— Seth
kaynak

evet ama ben hala olsun --webroot seçeneği kaldırırsanızmake sure that your domain name was entered correctly

— Jenia İvanov

Evet, çünkü web sunucusu konfigürasyonunuz kaçınılmaz. Webroute yöntemini kullanmıyorsanız, sahip olduğunuzu doğrulamak için DNS'yi kullanmanız gerekir. CertBot tarafından desteklenen gibi görünmüyor. Bu nedenle, web sunucusu yapılandırmanızı içeriğindeki içeriği sunacak şekilde değiştirmeniz gerekecektir /.well-known/acme-challenge/.

— Seth