Tarayıcıların güvenilir "sertifika yetkilisi" (CA) sertifikalarının bir listesi vardır. Bir sunucunun sertifikası bu CA sertifikalarından biri tarafından imzalanmış ve doğru bir şekilde oluşturulmuşsa, SSL uyarısı almazsınız.
Birçok tarayıcı Verisign, Thawte, vs. gibi birçok ortak CA sertifikasıyla birlikte gelir. Çoğu tarayıcı, bu güvenilir CA listesine yeni bir CA almanıza izin verir.
Kendi kendinize imzalı sunucu sertifikanızı oluşturmak gibi kendi kendinize imzalı CA sertifikanızı oluşturabilirsiniz. Sunucu sertifikanızı imzalamak için bunu kullanabilirsiniz. CA'nız, tanınmış bir şirket tarafından sağlanmamışsa, sizin yaptığınız gibi olmazsa, açıkça sunucu tarafından içe aktarılması gerekir.
Bunu daha xca
önce yapardım. CA'lar ve HTTP sunucuları için şablonlar vardır. İşlem şudur:
- CA'nız için özel bir anahtar oluşturun
- "CA" şablonunu kullanarak bu anahtarı kullanarak kendinden imzalı bir CA oluşturun.
- Proxy sunucunuz için özel bir anahtar oluşturun
- Yaptığınız CA'yı referans alarak ikinci anahtarı kullanarak bir "sertifika imzalama isteği" (CSR) oluşturun.
- CSR’yi "imzalayın" ve kendi CA'nıza başvuran proxy sunucu sertifikasına sahip olacaksınız.
Daha sonra xca
CA sertifikasını vermeniz gerekir (eğer kullanıyorsanız bir dosya olarak ) (ancak elbette özel anahtar eklemeyin). A .pem
oluşturulur, ancak uzantıyı değiştirebilirsiniz .crt
. Bir kullanıcı bunu tıkladığında, Firefox ve Internet Explorer’a ve muhtemelen diğer büyük tarayıcılara yüklenmesi önerilecektir. Bu .crt dosyasının otomatik kurulumu kadarıyla, şunları yapabilirsiniz:
- IE’de grup politikası kullan
- Kullanıcıları, uyarıları önlemek istiyorlarsa .crt dosyasını indirmelerini / yüklemelerini isteyen bir giriş sayfasına yönlendirin.
Daha sonra proxy sunucunuza koymak için HTTP sunucu sertifikasında verme işlevini (hem özel anahtarı hem de sunucu tarafı için sertifikayı verme) kullanabilirsiniz.
/etc/ssl/certs/ssl-cert-snakeoil.pem
ederssl-cert
. A ana bilgisayarına kopyalayıp onu çağırıyoruz/etc/ssl/certs/host-B.pem
(çünkü bu ana bilgisayarın zaten bir a’sı olabilirssl-cert-snakeoil.pem
). Sonra koşarızln -s /etc/ssl/certs/host-B.pem $(openssl x509 -noout -hash -in /etc/ssl/certs/host-B.pem)
.