क्या स्व-हस्ताक्षरित एसएसएल प्रमाणपत्र को नवीनीकृत किया जा सकता है? कैसे?

18

मैं एसएसएल प्रमाणपत्रों के लिए काफी नया हूं और जानना चाहूंगा कि क्या स्व-हस्ताक्षरित प्रमाण पत्र जो मैं एचटीटीपीएस के लिए उपयोग करता हूं, को इसकी समाप्ति तिथि का विस्तार करने के लिए नवीनीकृत किया जा सकता है, बिना साइट के सभी ग्राहकों को "अपवाद की अनुमति दें" प्रक्रिया से गुजरना होगा। जब वे पहली बार साइट पर जाते हैं या जब स्क्रैच से बने नए स्व-हस्ताक्षरित प्रमाणपत्र जारी करते हैं।

मुझे निम्नलिखित ट्यूटोरियल मिला जिसमें दिखाया गया है कि किस तरह से स्व-हस्ताक्षरित प्रमाणपत्र को नवीनीकृत करना है, लेकिन मैं इसका उपयोग करने में सक्षम नहीं था कि मेरा ब्राउज़र चुपचाप यह दिखाए बिना कि "अनट्रस्ट साइट" चेतावनी स्क्रीन को स्वीकार करता है:openssl

  # cd /etc/apache2/ssl
  # openssl genrsa -out togaware.com.key 1024
  # chmod 600 togaware.com.key
  # openssl req -new -key togaware.com.key -out togaware.com.csr
    AU
    ACT
    Canberra
    Togaware
    Data Mining
    Kayon Toga
    Kayon.Toga@togaware.com
    (no challenge password)
  # openssl x509 -req -days 365 -in togaware.com.csr \
            -signkey togaware.com.key -out togaware.com.crt
  # mv apache.pem apache.pem.old
  # cp togaware.com.key apache.pem 
  # cat togaware.com.crt >> apache.pem 
  # chmod 600 apache.pem
  # wajig restart apache2

मेरा सेटअप इस उत्तर में वर्णित के रूप में बहुत सुंदर है और मैं PEM फ़ाइल के बजाय CRT और कुंजी फ़ाइलों ( इस ट्यूटोरियल से ) का उपयोग कर रहा हूं, इसलिए शायद मैंने अपने मामले में इसे लागू करने के लिए कुछ गड़बड़ कर दी।

फिर से, मुझे कई फ़ोरम प्रविष्टियां मिलीं, जिसमें यह सुझाव दिया गया कि स्व-हस्ताक्षरित प्रमाणपत्र को नवीनीकृत करना पूरी तरह से असंभव है और मुझे स्क्रैच से एक नया निर्माण करना होगा।

किसी भी मदद की सराहना की जाएगी ... या यह सवाल बेहतर होगा /server// या /superuser// के अनुकूल ?

ssl  certificate  openssl 
FriendFX
स्रोत
7
इस प्रश्न को नीचा दिखाने के बजाय, कृपया विशिष्ट सलाह दें कि इसके बारे में क्या सुधार करें।
फ्रेंडएफएक्स जूल

जवाबों:

23

परिभाषा के अनुसार, एक स्व-हस्ताक्षरित प्रमाण पत्र पर केवल प्रत्यक्ष विश्वास के माध्यम से भरोसा किया जा सकता है , अर्थात फ़ायरफ़ॉक्स जैसे वेब ब्राउज़र "अनुमति अपवाद" प्रक्रिया के रूप में क्या दर्शाते हैं। एक बहुत विशिष्ट प्रमाण पत्र, अंतिम बिट तक, "विश्वसनीय" घोषित किया जाता है। इस मॉडल से बाहर निकले बिना किसी प्रमाणपत्र में कुछ भी नहीं बदला जा सकता है, और विशेष रूप से, समाप्ति की तारीख, जो प्रमाण पत्र में निहित डेटा का हिस्सा है।

आप एक प्रकार की पारिवारिक चीज़ के रूप में नवीकरण की कल्पना कर सकते हैं: जब एक प्रमाण पत्र "नवीनीकृत" होता है, तो यह वास्तव में एक छोटे भाई-बहन द्वारा प्रतिस्थापित किया जाता है। ग्राहक नए प्रमाणपत्र को चुपचाप स्वीकार करते हैं क्योंकि यह पिछले प्रमाण पत्र के समान वंशावली को साझा करता है। स्व-हस्ताक्षरित प्रमाण पत्र आंतरिक अनाथ हैं: उनके पास कोई वंश नहीं है। इसलिए, कोई भाई-बहन, और कोई स्वचालित ट्रांसमिशन नहीं।

(इसके अलावा वंश बात से, नवीकरण है एक नया प्रमाणपत्र का निर्माण। प्रमाण पत्र हैं अपरिवर्तनीय । "नवीकरण" पुराने और नए प्रमाण पत्र के बीच संबंध के बारे में सोच का एक तरीका है।)

यदि आप मूक नवीकरण करने में सक्षम होना चाहते हैं, तो आपको एक स्व-हस्ताक्षरित सीए प्रमाण पत्र की आवश्यकता है । आप उस CA से अपने सर्वर के लिए प्रमाणपत्र उत्सर्जित करते हैं, और आप अपने ग्राहकों को उस CA पर भरोसा करने के लिए कहते हैं। बेशक यह बहुत कुछ पूछ रहा है: एक सीए जिस पर आपको भरोसा है वह एक सीए है जो आपकी आंखों में पूरे इंटरनेट को नकली कर सकता है। मूल रूप से, यह समाधान आपके स्वयं के सीए बनाने और बनाए रखने के बारे में है, जो एक जिम्मेदारी और कुछ काम है।

अगली बार जब आप एक स्व-हस्ताक्षरित प्रमाण पत्र का उत्पादन करते हैं, तो इसे लंबे समय तक जीवित रखें। सर्टिफिकेट ज्यादातर एक्सपायरेशन काम करने के लिए समाप्त होते हैं (सर्टिफिकेट एक्सपायरी सीआरएल को अनिश्चित काल तक बढ़ने से रोकता है)। स्व-हस्ताक्षरित प्रमाण पत्र के लिए, कोई निरस्तीकरण नहीं है, इसलिए आप प्रमाण पत्र को 20 साल के लिए वैध बना सकते हैं। या 2000 वर्षों के लिए, उस मामले के लिए (हालांकि वर्ष 2038 समस्या क्लाइंट सॉफ्टवेयर के आधार पर कुछ बिंदु पर दिखाई दे सकती है)।

टॉम लीक
स्रोत
व्यापक उत्तर के लिए धन्यवाद! मैं सोच रहा हूं कि मेरे द्वारा जुड़े ट्यूटोरियल के संबंध में इसका क्या मतलब है। क्या यह केवल स्व-हस्ताक्षरित सीए प्रमाणपत्रों के लिए है? मुझे लगता है कि मैंने अभी उम्मीद की थी (और ट्यूटोरियल पढ़ने के बाद सोचा था) पुराने वाले से निजी कुंजी में पढ़ने और एक नया, "संगत" एक बनाने का एक तरीका था ... एक ऐसा जो एक "बच्चे" के बजाय दिखता है "अनाथ"। अच्छा सादृश्य, वैसे!
फ्रेंडएफ़एक्स
@FriendFX - आप जो चाहते हैं वह संभव नहीं है। टॉम सही है कि नवजीवन एक नया प्रमाण पत्र बनाता है।
रामहुंड
@ रामदूत - मैं समझता हूँ। एकमात्र खुला प्रश्न है: उस ट्यूटोरियल का उद्देश्य क्या है?
फ्रेंडएफ़एक्स
@FriendFX - यह इंटरनेट पर किसी यादृच्छिक व्यक्ति द्वारा सिर्फ इसलिए लिखा गया क्योंकि उनके पास एक ब्लॉग है जिसका अर्थ यह नहीं है कि वे समझ रहे हैं कि वे किस बारे में लिख रहे हैं। लेखक बस यह नहीं समझाता है कि ट्यूटोरियल का परिणाम एक नए प्रमाणपत्र में होगा
रामहाउंड
3
@FriendFX हाँ, यह ट्यूटोरियल केवल स्व-हस्ताक्षरित CA प्रमाणपत्रों के लिए काम करेगा। यदि आप एक ही कुंजी जोड़ी और विषय का उपयोग करते हैं, तो आप कई CA प्रमाण पत्र बना सकते हैं जो प्रत्येक जारी किए गए प्रमाण पत्र के लिए एक वैध जारीकर्ता के रूप में संतुष्ट करेंगे; इन प्रमाणपत्रों को अलग-अलग मूल सीए द्वारा भी जारी किया जा सकता है, जिसे "क्रॉस-चेनिंग" कहा जाता है।
कैल्रियन
3

संक्षिप्त उत्तर: नहीं।

स्व-हस्ताक्षरित प्रमाणपत्र पर भरोसा करना उस पासपोर्ट को जारी करने वाले देश के बजाय एक व्यक्तिगत पासपोर्ट पर भरोसा करने जैसा है। यदि आपको एक नया पासपोर्ट मिलता है, तो यह स्वचालित रूप से किसी ऐसे व्यक्ति पर भरोसा नहीं करेगा जिसने पुराने पर भरोसा किया था, विशेष रूप से क्योंकि यह अलग-अलग विशेषताओं (पासपोर्ट संख्या, दिनांक आदि) के साथ एक अलग चीज है; किसी के पास पुराने पासपोर्ट पर स्पष्ट रूप से भरोसा करने के लिए कोई आधार नहीं है ताकि नए पर भरोसा किया जा सके।

लियाम दिनेही
स्रोत
0

यदि आप स्व-हस्ताक्षरित प्रमाण पत्र का उपयोग कर रहे हैं (मैं विंडोज़ पर xca का उपयोग करने की सलाह देता हूं) तो आप बस समाप्ति की तारीख 7999-12-31 (यूटीसी के लिए अधिकतम समय) और प्रारंभिक तिथि 1970-01-01 (के लिए निर्धारित कर सकते हैं) पीसी में गलत समय / तारीख के साथ संगतता)

H3LL0
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.