Kendinden imzalı bir PEM sertifikasına güvenin


23
  1. Bir PEM sertifikası kullanarak SSL ile bir proxy sunucusu kurdum. Şimdi, bu sertifikaya otomatik olarak güvenmek istediğim birkaç makine var (web tarayıcısı şikayet etmeden). Her makineye PEM sertifikasını nasıl kurabilirim?

  2. Ayrıca, daha fazla ne tavsiye edilir: kendinden imzalı bir sertifika oluşturmak mı yoksa yılan derisi sertifikasını birleştirmek mi?

Yanıtlar:


10

Tarayıcıların güvenilir "sertifika yetkilisi" (CA) sertifikalarının bir listesi vardır. Bir sunucunun sertifikası bu CA sertifikalarından biri tarafından imzalanmış ve doğru bir şekilde oluşturulmuşsa, SSL uyarısı almazsınız.

Birçok tarayıcı Verisign, Thawte, vs. gibi birçok ortak CA sertifikasıyla birlikte gelir. Çoğu tarayıcı, bu güvenilir CA listesine yeni bir CA almanıza izin verir.

Kendi kendinize imzalı sunucu sertifikanızı oluşturmak gibi kendi kendinize imzalı CA sertifikanızı oluşturabilirsiniz. Sunucu sertifikanızı imzalamak için bunu kullanabilirsiniz. CA'nız, tanınmış bir şirket tarafından sağlanmamışsa, sizin yaptığınız gibi olmazsa, açıkça sunucu tarafından içe aktarılması gerekir.

Bunu daha xcaönce yapardım. CA'lar ve HTTP sunucuları için şablonlar vardır. İşlem şudur:

  • CA'nız için özel bir anahtar oluşturun
  • "CA" şablonunu kullanarak bu anahtarı kullanarak kendinden imzalı bir CA oluşturun.
  • Proxy sunucunuz için özel bir anahtar oluşturun
  • Yaptığınız CA'yı referans alarak ikinci anahtarı kullanarak bir "sertifika imzalama isteği" (CSR) oluşturun.
  • CSR’yi "imzalayın" ve kendi CA'nıza başvuran proxy sunucu sertifikasına sahip olacaksınız.

Daha sonra xcaCA sertifikasını vermeniz gerekir (eğer kullanıyorsanız bir dosya olarak ) (ancak elbette özel anahtar eklemeyin). A .pemoluşturulur, ancak uzantıyı değiştirebilirsiniz .crt. Bir kullanıcı bunu tıkladığında, Firefox ve Internet Explorer’a ve muhtemelen diğer büyük tarayıcılara yüklenmesi önerilecektir. Bu .crt dosyasının otomatik kurulumu kadarıyla, şunları yapabilirsiniz:

  • IE’de grup politikası kullan
  • Kullanıcıları, uyarıları önlemek istiyorlarsa .crt dosyasını indirmelerini / yüklemelerini isteyen bir giriş sayfasına yönlendirin.

Daha sonra proxy sunucunuza koymak için HTTP sunucu sertifikasında verme işlevini (hem özel anahtarı hem de sunucu tarafı için sertifikayı verme) kullanabilirsiniz.


17
  1. Sertifikanızı /etc/ssl/certshedef sisteme kopyalayın . Ardından , sertifika adınızla openssl x509 -noout -hash -in ca-certificate-filedeğiştirilen komut tarafından oluşturulan karmayı kullanarak bir sembolik bağlantı oluşturun ca-certificate-file. Sertifikanız daha sonra kendi sertifika deposu olmayan tüm programlar tarafından kabul edilmelidir.

    Kendi sertifika deposuna sahip programlar için (tarayıcılar, Java ve diğerleri) sertifikayı almanız gerekir.

  2. Kendi imzalı veya imzalı sertifikanızı oluşturmak en iyisidir.

    tinyca2Kendi sertifika yetkilisinizi kurmak ve oluşturmak isteyebilirsiniz . Sertifika yetkilisi sertifikasını yukarıdaki adımlarda detaylandırıldığı gibi alabilirsiniz. Uygulamalarınız için imzalı sertifikalar oluşturun ve dağıtın.

    CA sertifikanızı, sertifikanıza güvenmesi gereken kullanıcılara dağıtın. Sertifikanın onlara nasıl aktarılacağı hakkında bilgi sağlamanız gerekebilir. UYARI: Bunu yaparlarsa, onlar için başka bir güvenilir CA olursunuz, bu nedenle CA'nızı buna göre emniyete alın.

    Birçok araç kendinden imzalı sertifikalara veya güvenilmeyen CA'lara sahip sertifikalara güvenmek için de yapılandırılabilir. Bu genellikle tek seferlik bir eylemdir. Bu, güvensiz bir otoriteden bir CA sertifikası kabul etmekten daha güvenli olabilir, yalnızca kabul edilen sertifikaya güvenilir.


Bu daha belirgin hale getirilebilir mi? Örneğin: ana bilgisayar, B ana bilgisayarına posta gönderir ve B'nin kimliğini doğrulayamadığından şikayet /etc/ssl/certs/ssl-cert-snakeoil.pemeder ssl-cert. A ana bilgisayarına kopyalayıp onu çağırıyoruz /etc/ssl/certs/host-B.pem(çünkü bu ana bilgisayarın zaten bir a’sı olabilir ssl-cert-snakeoil.pem). Sonra koşarız ln -s /etc/ssl/certs/host-B.pem $(openssl x509 -noout -hash -in /etc/ssl/certs/host-B.pem).
Alex Schröder

1
@ AlexSchröder Yukarıda düzenleme yaptım. Snakeoil sertifikanızı almamalılar, ancak kendi CA'nızı kurduysanız, CA'nızı almaları makul olur. SMTP sunucuları arasında henüz güven sorunlarını tanımlamamıştım. Çoğu müşteriye bireysel sertifikalara güvenmeleri söylenebilir.
BillThor

Teşekkürler. Bu soruyu, alıyorum bir günlük girişi için bir açıklama ararken buldum. Bulduğum açıklama B'ye posta göndermek nereye A olarak, A, B kimliğini doğrulamak mümkün olmadığını bildirir olmasıydı
Alex Schröder

Bu tam olarak aradığım şeydi! -- teşekkür ederim! Artık güvenli webDAV'ımı bu kadar sıkıntı olmadan takmak için davulları kullanabilirim.
Wyatt8740

13

Debian ve Ubuntu üzerine kopyalamak zorunda certificate.pemiçin /usr/local/share/ca-certificates/certificate.crtve sonra çalıştırın dpkg-reconfigure ca-certificates. /etc/ssl/certsbu komut tarafından yönetiliyor.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.