Bir PEM sertifikası kullanarak SSL ile bir proxy sunucusu kurdum. Şimdi, bu sertifikaya otomatik olarak güvenmek istediğim birkaç makine var (web tarayıcısı şikayet etmeden). Her makineye PEM sertifikasını nasıl kurabilirim?
Ayrıca, daha fazla ne tavsiye edilir: kendinden imzalı bir sertifika oluşturmak mı yoksa yılan derisi sertifikasını birleştirmek mi?
Yanıtlar:
Tarayıcıların güvenilir "sertifika yetkilisi" (CA) sertifikalarının bir listesi vardır. Bir sunucunun sertifikası bu CA sertifikalarından biri tarafından imzalanmış ve doğru bir şekilde oluşturulmuşsa, SSL uyarısı almazsınız.
Birçok tarayıcı Verisign, Thawte, vs. gibi birçok ortak CA sertifikasıyla birlikte gelir. Çoğu tarayıcı, bu güvenilir CA listesine yeni bir CA almanıza izin verir.
Kendi kendinize imzalı sunucu sertifikanızı oluşturmak gibi kendi kendinize imzalı CA sertifikanızı oluşturabilirsiniz. Sunucu sertifikanızı imzalamak için bunu kullanabilirsiniz. CA'nız, tanınmış bir şirket tarafından sağlanmamışsa, sizin yaptığınız gibi olmazsa, açıkça sunucu tarafından içe aktarılması gerekir.
Bunu daha xcaönce yapardım. CA'lar ve HTTP sunucuları için şablonlar vardır. İşlem şudur:
Daha sonra xcaCA sertifikasını vermeniz gerekir (eğer kullanıyorsanız bir dosya olarak ) (ancak elbette özel anahtar eklemeyin). A .pemoluşturulur, ancak uzantıyı değiştirebilirsiniz .crt. Bir kullanıcı bunu tıkladığında, Firefox ve Internet Explorer’a ve muhtemelen diğer büyük tarayıcılara yüklenmesi önerilecektir. Bu .crt dosyasının otomatik kurulumu kadarıyla, şunları yapabilirsiniz:
Daha sonra proxy sunucunuza koymak için HTTP sunucu sertifikasında verme işlevini (hem özel anahtarı hem de sunucu tarafı için sertifikayı verme) kullanabilirsiniz.
Sertifikanızı /etc/ssl/certshedef sisteme kopyalayın . Ardından , sertifika adınızla openssl x509 -noout -hash -in ca-certificate-filedeğiştirilen komut tarafından oluşturulan karmayı kullanarak bir sembolik bağlantı oluşturun ca-certificate-file. Sertifikanız daha sonra kendi sertifika deposu olmayan tüm programlar tarafından kabul edilmelidir.
Kendi sertifika deposuna sahip programlar için (tarayıcılar, Java ve diğerleri) sertifikayı almanız gerekir.
Kendi imzalı veya imzalı sertifikanızı oluşturmak en iyisidir.
tinyca2Kendi sertifika yetkilisinizi kurmak ve oluşturmak isteyebilirsiniz . Sertifika yetkilisi sertifikasını yukarıdaki adımlarda detaylandırıldığı gibi alabilirsiniz. Uygulamalarınız için imzalı sertifikalar oluşturun ve dağıtın.
CA sertifikanızı, sertifikanıza güvenmesi gereken kullanıcılara dağıtın. Sertifikanın onlara nasıl aktarılacağı hakkında bilgi sağlamanız gerekebilir. UYARI: Bunu yaparlarsa, onlar için başka bir güvenilir CA olursunuz, bu nedenle CA'nızı buna göre emniyete alın.
Birçok araç kendinden imzalı sertifikalara veya güvenilmeyen CA'lara sahip sertifikalara güvenmek için de yapılandırılabilir. Bu genellikle tek seferlik bir eylemdir. Bu, güvensiz bir otoriteden bir CA sertifikası kabul etmekten daha güvenli olabilir, yalnızca kabul edilen sertifikaya güvenilir.
Debian ve Ubuntu üzerine kopyalamak zorunda certificate.pemiçin /usr/local/share/ca-certificates/certificate.crtve sonra çalıştırın dpkg-reconfigure ca-certificates. /etc/ssl/certsbu komut tarafından yönetiliyor.
/etc/ssl/certs/ssl-cert-snakeoil.pemederssl-cert. A ana bilgisayarına kopyalayıp onu çağırıyoruz/etc/ssl/certs/host-B.pem(çünkü bu ana bilgisayarın zaten bir a’sı olabilirssl-cert-snakeoil.pem). Sonra koşarızln -s /etc/ssl/certs/host-B.pem $(openssl x509 -noout -hash -in /etc/ssl/certs/host-B.pem).