मैंने PEM प्रमाणपत्र का उपयोग करके SSL के साथ एक प्रॉक्सी सर्वर स्थापित किया है। अब, मेरी कुछ मशीनें हैं जिन्हें मैं इस प्रमाण पत्र पर स्वतः भरोसा करना चाहूंगा (बिना वेब ब्राउज़र की शिकायत के)। मैं प्रत्येक मशीन पर PEM प्रमाणपत्र कैसे स्थापित कर सकता हूं?
इसके अलावा, क्या और अधिक अनुशंसित है: स्व-हस्ताक्षरित प्रमाण पत्र बनाना या सर्पिल प्रमाणपत्र को संक्षिप्त करना?
जवाबों:
ब्राउज़रों के पास विश्वसनीय "प्रमाणन प्राधिकरण" (CA) प्रमाणपत्रों की एक सूची है। यदि सर्वर का प्रमाणपत्र उन CA प्रमाणपत्रों में से एक पर हस्ताक्षरित है और ठीक से बना है, तो आपको SSL चेतावनी नहीं मिलेगी।
कई ब्राउज़र कई सामान्य CA प्रमाणपत्र जैसे कि Verisign, Thawte, आदि के साथ जहाज करते हैं। अधिकांश ब्राउज़र आपको विश्वसनीय CA की इस सूची में एक नया CA आयात करने की अनुमति देते हैं।
अपने स्वयं के हस्ताक्षरित सर्वर प्रमाणपत्र बनाने की तरह, आप अपने स्वयं के हस्ताक्षरित सीए प्रमाण पत्र बना सकते हैं। फिर आप अपने सर्वर प्रमाणपत्र पर हस्ताक्षर करने के लिए इसका उपयोग कर सकते हैं। यदि आपका CA किसी जानी-मानी कंपनी द्वारा प्रदान नहीं किया गया है, जो कि ऐसा नहीं होगा यदि वह आपके द्वारा बनाया गया है, तो उसे सर्वर साइड पर स्पष्ट रूप से आयात करना होगा।
मैंने पहले भी ऐसा किया xcaहै। इसमें CA और HTTP सर्वर के लिए टेम्प्लेट हैं। प्रक्रिया यह है:
फिर आपको xcaCA प्रमाणपत्र का उपयोग करके निर्यात करना होगा (एक फ़ाइल के रूप में ) (लेकिन निजी कुंजी शामिल नहीं है)। A .pemजनरेट होगा लेकिन आप एक्सटेंशन को बदल सकते हैं .crt। जब कोई उपयोगकर्ता उस पर क्लिक करता है, तो उसे फ़ायरफ़ॉक्स और इंटरनेट एक्सप्लोरर और संभवतः अन्य प्रमुख ब्राउज़रों पर स्थापित करने की पेशकश की जाएगी। जहाँ तक इस स्वत: स्थापना के रूप में।
फिर आप अपने प्रॉक्सी सर्वर पर डालने के लिए HTTP सर्वर सर्टिफिकेट (सर्वर साइड के लिए प्राइवेट की और सर्टिफिकेट दोनों के लिए निर्यात कार्यों) का उपयोग कर सकते हैं।
/etc/ssl/certsलक्ष्य प्रणाली पर अपना प्रमाणपत्र कॉपी करें । फिर एक सिमलिंक आदेश द्वारा उत्पन्न हैश का उपयोग कर बनाने openssl x509 -noout -hash -in ca-certificate-fileकी जगह ca-certificate-fileअपने प्रमाण पत्र के नाम के साथ। तब आपके प्रमाणपत्र को बिना किसी प्रमाण पत्र के सभी कार्यक्रमों द्वारा स्वीकार कर लिया जाना चाहिए।
अपने स्वयं के प्रमाण पत्र की दुकान (ब्राउज़र, जावा, और अन्य) के साथ कार्यक्रमों के लिए आपको प्रमाणपत्र आयात करना होगा।
अपना स्वयं का हस्ताक्षरित या हस्ताक्षरित प्रमाणपत्र बनाना सबसे अच्छा है।
आप tinyca2अपने स्वयं के प्रमाणपत्र प्राधिकरण को स्थापित और उत्पन्न करना चाह सकते हैं । आप ऊपर के चरणों में विस्तृत रूप में प्रमाणपत्र प्राधिकारी प्रमाणपत्र आयात कर सकते हैं। अपने अनुप्रयोगों के लिए हस्ताक्षरित प्रमाणपत्र बनाएं और तैनात करें।
अपना CA प्रमाणपत्र उन उपयोगकर्ताओं को वितरित करें जिन्हें आपके प्रमाणपत्र पर भरोसा करने की आवश्यकता है। आपको उन्हें प्रमाण पत्र कैसे आयात करना है, इसके बारे में जानकारी देने की आवश्यकता हो सकती है। चेतावनी: यदि वे ऐसा करते हैं, तो आप उनके लिए एक और विश्वसनीय सीए बन जाते हैं, इसलिए अपने सीए को उसी अनुसार सुरक्षित करें।
कई उपकरण स्व-हस्ताक्षरित प्रमाण पत्र, या अविश्वसनीय सीए के साथ प्रमाण पत्र पर भरोसा करने के लिए भी कॉन्फ़िगर किए जा सकते हैं। यह आमतौर पर एक बार की कार्रवाई है। यह अधिक सुरक्षित हो सकता है कि असुरक्षित प्राधिकारी से सीए प्रमाण पत्र स्वीकार करना, केवल स्वीकृत प्रमाण पत्र पर भरोसा है।
डेबियन और उबंटू पर आपको कॉपी करना certificate.pemहोगा /usr/local/share/ca-certificates/certificate.crtऔर फिर रन करना होगा dpkg-reconfigure ca-certificates। /etc/ssl/certsउस आदेश द्वारा प्रबंधित किया जाता है।
/etc/ssl/certs/ssl-cert-snakeoil.pem(यह वही है जो डेबियन पैकेजssl-certआपके लिए बनाता है)। हम इसे ए होस्ट करने के लिए कॉपी करते हैं और इसे कॉल करते हैं/etc/ssl/certs/host-B.pem(क्योंकि यह होस्ट पहले से ही हो सकता हैssl-cert-snakeoil.pem)। फिर हम दौड़ते हैंln -s /etc/ssl/certs/host-B.pem $(openssl x509 -noout -hash -in /etc/ssl/certs/host-B.pem)।