Я створив проксі-сервер із SSL за допомогою PEM-сертифіката. Зараз є кілька моїх машин, яким я хотів би довірити цьому сертифікату автоматично (без скарг веб-браузера). Як я можу встановити сертифікат PEM на кожну машину?
Крім того, що більше рекомендується: створити сертифікат, який підписав самостійно, або об'єднати сертифікат змії?
Відповіді:
У веб-переглядачах є список надійних сертифікатів "сертифікаційного органу" (CA). Якщо сертифікат сервера підписаний одним із цих сертифікатів CA та належним чином сформований, ви не отримаєте попередження SSL.
Багато браузерів постачаються з багатьма поширеними сертифікатами ЦС, такими як Verisign, Thawte і т.д.
Як і створити власний сертифікат сервера з власним підписом, ви можете створити власний сертифікат сертифіката CA. Потім ви можете використовувати це для підписання вашого сертифіката сервера. Якщо ваш КА не надається відомою компанією, чого б не було, якщо це той, який ви створили, його доведеться явно імпортувати на стороні сервера.
Я раніше xcaце робив. Він має шаблони для ЦО та HTTP-серверів. Процедура така:
Потім вам потрібно буде експортувати (як файл, якщо використовується xca) сертифікат CA (але, звичайно, не включати приватний ключ). A .pemбуде створено, але ви можете змінити розширення на .crt. Коли користувач натисне на це, йому буде запропоновано встановити Firefox та Internet Explorer, а можливо й інші основні браузери. Що стосується автоматичної установки цього .crt, ви можете:
Потім ви можете використовувати функції експорту на сертифікаті сервера HTTP (експортувати як приватний ключ, так і сертифікат на стороні сервера) для розміщення вашого проксі-сервера.
Скопіюйте свою програму /etc/ssl/certsна цільову систему. Потім створіть символьне посилання за допомогою хеша, сформованого командою, що openssl x509 -noout -hash -in ca-certificate-fileзамінює ca-certificate-fileваше ім'я сертифіката. Потім ваш сертифікат повинен бути прийнятий усіма програмами без власного сховища сертифікатів.
Для програм із власним сховищем сертифікатів (браузери, Java та інші) вам потрібно буде імпортувати сертифікат.
Найкраще створити власний сертифікат або підписаний сертифікат.
Ви можете встановити tinyca2та створити власний авторизований сертифікат. Ви можете імпортувати сертифікат авторитетного сертифіката, як детально описано в кроках вище. Створюйте та розгортайте підписані сертифікати для своїх додатків.
Поширюйте свій сертифікат CA тим користувачам, яким потрібно довіряти вашому сертифікату. Можливо, вам потрібно буде надати інформацію про те, як імпортувати сертифікат до них. ПОПЕРЕДЖЕННЯ. Якщо вони роблять це, ви стаєте для них ще одним довіреним органом, тому відповідно закріпіть його.
Багато інструментів також можна налаштувати для довіри самопідписаних сертифікатів або сертифікатів з недовіреними ЦС. Зазвичай це разова дія. Це може бути більш безпечним, якщо приймати сертифікат CA від незахищеного органу, довіряється лише прийнятому сертифікату.
В Debian і Ubuntu ви повинні скопіювати certificate.pemдо , /usr/local/share/ca-certificates/certificate.crtа потім запустити dpkg-reconfigure ca-certificates. /etc/ssl/certsуправляється цією командою.
/etc/ssl/certs/ssl-cert-snakeoil.pem(це те, що пакет Debianssl-certстворює для вас). Ми копіюємо його на хост A і називаємо його/etc/ssl/certs/host-B.pem(оскільки у цього хоста, можливо, вже єssl-cert-snakeoil.pem). Тоді ми біжимоln -s /etc/ssl/certs/host-B.pem $(openssl x509 -noout -hash -in /etc/ssl/certs/host-B.pem).