क्लाइंट-साइड प्रमाण पत्र

मेरी कंपनी ने एक विक्रेता से वाइल्डकार्ड प्रमाणपत्र खरीदा। एक उपडोमेन को सुरक्षित करने के लिए इस प्रमाणपत्र को Apache 2.2 के साथ सफलतापूर्वक कॉन्फ़िगर किया गया था। SSL पक्ष पर सब कुछ काम करता है।

अब मुझे इस उपडोमेन को जारी करने के लिए x509 क्लाइंट-साइड सर्टिफिकेट जेनरेट करना होगा। मैं इस पृष्ठ का अनुसरण कर रहा हूं: ( http://www.vanemery.com/Linux/Apache/apache-SSL.html ), "प्रमाणीकरण के लिए ग्राहक प्रमाण पत्र बनाना" से शुरू।

मैंने p12 फ़ाइलें जनरेट की हैं और उन्हें सफलतापूर्वक फ़ायरफ़ॉक्स में आयात किया है। जब मैं अब साइट पर ब्राउज़ करता हूं, तो मुझे फ़ायरफ़ॉक्स में एक त्रुटि मिलती है जो कहती है "पेज लोड होने के दौरान सर्वर से कनेक्शन रीसेट हो गया था।"

मुझे लगता है कि क्लाइंट-साइड पर सही तरीके से हस्ताक्षर नहीं करने से मेरी समस्या आ रही है। जब मैं क्लाइंट-साइड प्रमाणपत्र पर हस्ताक्षर करता हूं, तो मैं -CA तर्क के लिए RapidSSL (जो हमने प्रमाण पत्र खरीदा था) से PEM फ़ाइल (RapidSSL_CA_bundle.pem) का उपयोग कर रहा हूं। -CAkey तर्क के लिए, मैं सर्वर की निजी कुंजी का उपयोग कर रहा हूं। क्या ये सही है?

मुझे नहीं लगता कि वाइल्डकार्ड प्रमाणपत्र के लिए लाइसेंस आपको अन्य प्रमाणपत्रों पर हस्ताक्षर करने के लिए इसका उपयोग करने की अनुमति देता है। ऐसा करने में सक्षम होने के लिए आपको एक प्रमाणपत्र प्राधिकारी होने की आवश्यकता है।

Apache शायद कनेक्शन रीसेट कर रहा है। अपनी लॉग फ़ाइलों को देखने का प्रयास करें। यदि आप * निक्स सिस्टम पर हैं तो यह होना चाहिए /var/log/apache/error.log।

अपने जेनरेट किए गए प्रमाणपत्र की सामग्री को देखने के लिए ओपनसेल का उपयोग करें। यह तब स्पष्ट होगा जब आपका हस्ताक्षर सही तरीके से काम कर रहा हो।

openssl x509 -text -noout -in <yoursignedcert>

यदि वह ठीक दिखाई देता है और एक जारीकर्ता फ़ील्ड है जो यह दर्शाता है कि यह कहाँ पर हस्ताक्षरित है, तो अपने सर्वर से संलग्न करने के लिए ओपनसेल का उपयोग करके प्रयास करें और देखें कि यह क्या उम्मीद कर रहा है।

openssl s_client -connect <host>:port -CAfile <yourtrustcert> -cert <yoursignedcert>

यह कुछ सुराग देना चाहिए कि क्या सर्वर आपके प्रमाणपत्र का अनुरोध कर रहा है या नहीं।