ฉันตั้งค่าพร็อกซีเซิร์ฟเวอร์ด้วย SSL โดยใช้ใบรับรอง PEM ขณะนี้มีเครื่องของฉันสองเครื่องที่ฉันต้องการเชื่อถือใบรับรองนี้โดยอัตโนมัติ (โดยไม่ต้องมีเว็บเบราว์เซอร์บ่น) ฉันจะติดตั้งใบรับรอง PEM ในแต่ละเครื่องได้อย่างไร
นอกจากนี้สิ่งที่แนะนำเพิ่มเติม: การสร้างใบรับรองที่ลงนามด้วยตนเองหรือการเชื่อมใบรับรอง snakeoil?
คำตอบ:
เบราว์เซอร์มีรายการ "ใบรับรองผู้ออกใบรับรอง" (CA) ที่เชื่อถือได้ หากใบรับรองของเซิร์ฟเวอร์ลงนามโดยหนึ่งในใบรับรอง CA เหล่านั้นและจัดรูปแบบอย่างเหมาะสมคุณจะไม่ได้รับคำเตือน SSL
เบราว์เซอร์จำนวนมากที่มาพร้อมกับใบรับรอง CA ทั่วไปเช่น Verisign, Thawte เป็นต้นเบราว์เซอร์ส่วนใหญ่อนุญาตให้คุณนำเข้า CA ใหม่ลงในรายการ CA ที่เชื่อถือได้นี้
เช่นเดียวกับการสร้างใบรับรองเซิร์ฟเวอร์ที่ลงชื่อด้วยตนเองของคุณเองคุณสามารถสร้างใบรับรอง CA ที่ลงชื่อด้วยตนเองได้ จากนั้นคุณสามารถใช้สิ่งนั้นเพื่อลงชื่อใบรับรองเซิร์ฟเวอร์ของคุณ หาก CA ของคุณไม่ได้ให้บริการโดย บริษัท ที่มีชื่อเสียงซึ่งไม่น่าจะเป็น บริษัท ที่คุณสร้างขึ้นจะต้องนำเข้าอย่างชัดเจนบนฝั่งเซิร์ฟเวอร์
ฉันเคยxcaทำแบบนี้มาก่อน มีเทมเพลตสำหรับเซิร์ฟเวอร์ CA และ HTTP ขั้นตอนนี้คือ:
จากนั้นคุณจะต้องส่งออก (เป็นไฟล์หากใช้xca) ใบรับรอง CA (แต่ไม่รวมรหัสส่วนตัวของหลักสูตร) .pemจะถูกสร้างขึ้น .crtแต่คุณสามารถเปลี่ยนนามสกุลไป เมื่อผู้ใช้คลิกที่นั้นจะมีการเสนอให้ติดตั้งบน Firefox และ Internet Explorer และเบราว์เซอร์หลักอื่น ๆ เท่าที่การติดตั้ง. crt นี้โดยอัตโนมัติคุณสามารถ:
จากนั้นคุณสามารถใช้ฟังก์ชั่นการส่งออกในใบรับรองเซิร์ฟเวอร์ HTTP (ส่งออกทั้งรหัสส่วนตัวและใบรับรองสำหรับฝั่งเซิร์ฟเวอร์) เพื่อวางบนพร็อกซีเซิร์ฟเวอร์ของคุณ
คัดลอกใบรับรองของคุณไปยัง/etc/ssl/certsระบบเป้าหมาย จากนั้นสร้าง symlink โดยใช้แฮชที่สร้างโดยคำสั่งopenssl x509 -noout -hash -in ca-certificate-fileแทนที่ca-certificate-fileด้วยชื่อใบรับรองของคุณ ใบรับรองของคุณควรได้รับการยอมรับจากทุกโปรแกรมโดยไม่มีที่เก็บใบรับรองของตนเอง
สำหรับโปรแกรมที่มีที่เก็บใบรับรอง (เบราว์เซอร์ Java และอื่น ๆ ) คุณจะต้องนำเข้าใบรับรอง
การสร้างใบรับรองที่ลงชื่อด้วยตนเองหรือลงนามของคุณเองนั้นดีที่สุด
คุณอาจต้องการติดตั้งtinyca2และสร้างผู้ออกใบรับรองของคุณเอง คุณสามารถนำเข้าใบรับรองหน่วยงานผู้ออกใบรับรองตามรายละเอียดในขั้นตอนด้านบน สร้างและปรับใช้ใบรับรองที่ลงนามสำหรับแอปพลิเคชันของคุณ
แจกจ่ายใบรับรอง CA ของคุณให้กับผู้ใช้ที่ต้องเชื่อถือใบรับรองของคุณ คุณอาจต้องให้ข้อมูลเกี่ยวกับวิธีนำเข้าใบรับรองไปยังพวกเขา คำเตือน: ถ้าพวกเขาทำเช่นนี้คุณจะกลายเป็น CA ที่ไว้ใจได้อีกตัวหนึ่ง
เครื่องมือมากมายสามารถกำหนดค่าให้เชื่อถือใบรับรองที่ลงนามด้วยตนเองหรือใบรับรองด้วย CA ที่ไม่น่าเชื่อถือ นี่เป็นการกระทำเพียงครั้งเดียว สิ่งนี้อาจมีความปลอดภัยมากกว่าที่ยอมรับใบรับรอง CA จากหน่วยงานที่ไม่ปลอดภัยมีเพียงใบรับรองที่ยอมรับเท่านั้นที่เชื่อถือได้
ใน Debian และ Ubuntu คุณต้องคัดลอกcertificate.pemไปและเรียกใช้แล้ว/usr/local/share/ca-certificates/certificate.crt ถูกจัดการโดยคำสั่งนั้นdpkg-reconfigure ca-certificates/etc/ssl/certs
/etc/ssl/certs/ssl-cert-snakeoil.pem(นี่คือสิ่งที่แพ็คเกจ Debianssl-certสร้างขึ้นสำหรับคุณ) เราคัดลอกไปยังโฮสต์ A และเรียกมันว่า/etc/ssl/certs/host-B.pem(เนื่องจากโฮสต์นี้อาจมีssl-cert-snakeoil.pem)ln -s /etc/ssl/certs/host-B.pem $(openssl x509 -noout -hash -in /etc/ssl/certs/host-B.pem)จากนั้นเราจะดำเนินการ