วิธีการสร้างใบรับรองแบบลงนามด้วยตนเองสำหรับ localhost

ฉันทำด้วยรหัสผ่านและมีฟิลด์ต่อไปนี้เป็นรูท

openssl req -x509 -days 365 -newkey rsa:2048 -keyout /etc/ssl/apache.key \
    -out /etc/ssl/apache.crt

ทุ่ง

Country: FI
State: Pirkanmaa
Locality: Tampere
Organization: masi
Organizational Unit Name: SSL Certificate Test
CommonName: 192.168.1.107/owncloud
EmailAddress: masi@gmail.com

เอาต์พุต: ข้อผิดพลาดการจับมือ SSL ใน HTTPS ผลลัพธ์ที่ควรได้รับ: การเชื่อมต่อ HTTPS HTTP ใช้งานได้

COMMONNAME ควรรวม URL ที่คุณต้องการที่จะไปด้าย owncloud ของที่นี่ ฉันลองใช้ชื่อสามัญไม่สำเร็จ

192.168.1.107/owncloud
192.168.1.107/

ทดสอบระบบปฏิบัติการสำหรับเซิร์ฟเวอร์: Debian 8.5
เซิร์ฟเวอร์: Raspberry Pi 3b Owncloud-server: 8.2.5 Owncloud-client: 2.1.1 ระบบไคลเอนต์: Debian 8.5

openssl certificates

— LéoLéopold Hertz 준영
แหล่งที่มา

หากคุณกำลังมองหาการสร้างใบรับรอง SSL ใหม่โดยใช้ SAN สำหรับ localhost ขั้นตอนการโพสต์นี้Centos 7 / Vagrant / Chrome Browserทำงานสำหรับฉันใน

— Damodar Bashyal

@DamodarBashyal กรุณาอย่าให้ลิงค์เพียงคำตอบ แต่คำอธิบายบางอย่างก็เป็นคำตอบ

— LéoLéopold Hertz 준영

openssl req -x509 วันที่ 365 -newkey rsa: 2048 -keyout /etc/ssl/apache.key -out /etc/ssl/apache.crt

คุณไม่สามารถใช้คำสั่งนี้เพื่อสร้างใบรับรอง X.509 ที่มีรูปแบบที่ดี มันจะไม่ถูกต้องเพราะชื่อโฮสต์จะอยู่ในชื่อสามัญ (CN) การวางชื่อโฮสต์หรือที่อยู่ IP ใน CN นั้นเลิกใช้แล้วโดย IETF (เครื่องมือส่วนใหญ่เช่นwgetและcurl) และฟอรัม CA / B (ของ CA และเบราว์เซอร์)

ตาม IETF และ CA / B ฟอรัมชื่อเซิร์ฟเวอร์และที่อยู่ IP จะอยู่ในชื่อสำรองของหัวเรื่อง (SAN)เสมอ สำหรับกฎให้ดูRFC 5280, อินเตอร์เน็ต X.509 คีย์สาธารณะโครงสร้างพื้นฐานและรับรองรายการเพิกถอนใบรับรอง (CRL) รายละเอียดและCA / เบราว์เซอร์ที่ต้องการฟอรั่มพื้นฐาน

คุณต้องใช้ไฟล์กำหนดค่า OpenSSL เป็นส่วนใหญ่และปรับให้เหมาะกับความต้องการของคุณ ด้านล่างเป็นตัวอย่างหนึ่งที่ฉันใช้ มันเรียกว่าexample-com.confและจะส่งผ่านไปยังคำสั่ง OpenSSL -config example-com.confผ่าน

นอกจากนี้ยังทราบดี : เครื่องทั้งหมดเรียกร้องให้localhost, localhost.localdomainฯลฯ localhostระมัดระวังเกี่ยวกับการออกใบรับรองสำหรับ ฉันไม่ได้บอกว่าอย่าทำ เพียงแค่เข้าใจว่ามีความเสี่ยงที่เกี่ยวข้อง

ทางเลือกอื่น ๆlocalhostคือ: (1) เรียกใช้ DNS และออกใบรับรองไปยังชื่อ DNS ของเครื่อง หรือ (2) ใช้ IP แบบคงที่และรวมถึงที่อยู่ IP แบบคงที่

เบราว์เซอร์จะยังคงให้คำเตือนเกี่ยวกับใบรับรองที่ลงชื่อด้วยตนเองซึ่งไม่เชื่อมโยงกลับไปยังรูทที่เชื่อถือได้ เครื่องมือเช่นcurlและwgetจะไม่บ่น --cafileแต่คุณยังคงต้องให้ความไว้วางใจคุณด้วยตนเองเซ็นสัญญากับตัวเลือกเช่นม้วนฯ ในการเอาชนะปัญหาความน่าเชื่อถือของเบราว์เซอร์คุณต้องกลายเป็น CA ของคุณเอง

"กลายเป็น CA ของคุณเอง"เป็นที่รู้จักกันในชื่อการใช้ PKI ส่วนตัว มีไม่มากไป คุณสามารถทำทุกสิ่งที่ Public CA สามารถทำได้ สิ่งเดียวที่แตกต่างคือคุณจะต้องติดตั้งRoot CA Certificate ของคุณในร้านค้าต่างๆ cacerts.pmมันแตกต่างกันไม่มีกว่าการพูดโดยใช้ของม้วน cacerts.pmเป็นเพียงคอลเล็กชันของรูท CA และตอนนี้คุณได้เข้าร่วมคลับแล้ว

หากคุณเป็น CA ของคุณเองให้แน่ใจว่าเบิร์นคีย์ CA ของคุณเป็นส่วนตัวเพื่อให้ดิสก์และทำให้ออฟไลน์อยู่ จากนั้นนำมาใส่ไว้ในไดรฟ์ CD / DVD ของคุณเมื่อคุณต้องการเซ็นต์คำขอลงนาม ตอนนี้คุณกำลังออกใบรับรองเช่นเดียวกับ Public CA

สิ่งนี้ไม่ยากมากเมื่อคุณลงชื่อหนึ่งหรือสองคำขอลงนาม ฉันใช้ PKI ส่วนตัวมาหลายปีแล้วที่บ้าน อุปกรณ์และแกดเจ็ตของฉันทั้งหมดเชื่อถือ CA ของฉัน

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการเป็น CA ของคุณเองโปรดดูที่คุณจะลงนามคำขอการเซ็นชื่อใบรับรองกับผู้ให้บริการออกใบรับรองของคุณได้อย่างไรและวิธีสร้างใบรับรองที่ลงนามด้วยตนเองด้วย openssl .

จากความคิดเห็นในไฟล์การกำหนดค่าด้านล่าง ...

ลงนามด้วยตนเอง (หมายเหตุการเพิ่ม -x509)

openssl req -config example-com.conf -new -x509 -sha256 -newkey rsa:2048 -nodes -keyout example-com.key.pem -days 365 -out example-com.cert.pem

คำขอลงนาม (หมายเหตุขาด -x509)

openssl req -config example-com.conf -new -newkey rsa:2048 -nodes -keyout example-com.key.pem -days 365 -out example-com.req.pem

พิมพ์การเซ็นชื่อด้วยตนเอง

openssl x509 -in example-com.cert.pem -text -noout

พิมพ์คำขอลงนาม

openssl req -in example-com.req.pem -text -noout

ไฟล์การกำหนดค่า

# Self Signed (note the addition of -x509):
#     openssl req -config example-com.conf -new -x509 -sha256 -newkey rsa:2048 -nodes -keyout example-com.key.pem -days 365 -out example-com.cert.pem
# Signing Request (note the lack of -x509):
#     openssl req -config example-com.conf -new -newkey rsa:2048 -nodes -keyout example-com.key.pem -days 365 -out example-com.req.pem
# Print it:
#     openssl x509 -in example-com.cert.pem -text -noout
#     openssl req -in example-com.req.pem -text -noout

[ req ]
default_bits        = 2048
default_keyfile     = server-key.pem
distinguished_name  = subject
req_extensions      = req_ext
x509_extensions     = x509_ext
string_mask         = utf8only

# The Subject DN can be formed using X501 or RFC 4514 (see RFC 4519 for a description).
#   It's sort of a mashup. For example, RFC 4514 does not provide emailAddress.
[ subject ]
countryName         = Country Name (2 letter code)
countryName_default     = US

stateOrProvinceName     = State or Province Name (full name)
stateOrProvinceName_default = NY

localityName            = Locality Name (eg, city)
localityName_default        = New York

organizationName         = Organization Name (eg, company)
organizationName_default    = Example, LLC

# Use a friendly name here because it's presented to the user. The server's DNS
#   names are placed in Subject Alternate Names. Plus, DNS names here is deprecated
#   by both IETF and CA/Browser Forums. If you place a DNS name here, then you 
#   must include the DNS name in the SAN too (otherwise, Chrome and others that
#   strictly follow the CA/Browser Baseline Requirements will fail).
commonName          = Common Name (e.g. server FQDN or YOUR name)
commonName_default      = Example Company

emailAddress            = Email Address
emailAddress_default        = test@example.com

# Section x509_ext is used when generating a self-signed certificate. I.e., openssl req -x509 ...
[ x509_ext ]

subjectKeyIdentifier        = hash
authorityKeyIdentifier  = keyid,issuer

#  If RSA Key Transport bothers you, then remove keyEncipherment. TLS 1.3 is removing RSA
#  Key Transport in favor of exchanges with Forward Secrecy, like DHE and ECDHE.
basicConstraints        = CA:FALSE
keyUsage            = digitalSignature, keyEncipherment
subjectAltName          = @alternate_names
nsComment           = "OpenSSL Generated Certificate"

# RFC 5280, Section 4.2.1.12 makes EKU optional
# CA/Browser Baseline Requirements, Appendix (B)(3)(G) makes me confused
# extendedKeyUsage  = serverAuth, clientAuth

# Section req_ext is used when generating a certificate signing request. I.e., openssl req ...
[ req_ext ]

subjectKeyIdentifier        = hash

basicConstraints        = CA:FALSE
keyUsage            = digitalSignature, keyEncipherment
subjectAltName          = @alternate_names
nsComment           = "OpenSSL Generated Certificate"

# RFC 5280, Section 4.2.1.12 makes EKU optional
# CA/Browser Baseline Requirements, Appendix (B)(3)(G) makes me confused
# extendedKeyUsage  = serverAuth, clientAuth

[ alternate_names ]

DNS.1       = example.com
DNS.2       = www.example.com
DNS.3       = mail.example.com
DNS.4       = ftp.example.com

# Add these if you need them. But usually you don't want them or
#   need them in production. You may need them for development.
# DNS.5       = localhost
# DNS.6       = localhost.localdomain
# DNS.7       = 127.0.0.1

# IPv6 localhost
# DNS.8     = ::1
# DNS.9     = fe80::1

คุณอาจต้องทำสิ่งต่อไปนี้สำหรับ Chrome มิฉะนั้นChrome อาจบ่นชื่อสามัญไม่ถูกต้อง (ERR_CERT_COMMON_NAME_INVALID ) ฉันไม่แน่ใจว่าความสัมพันธ์ระหว่างที่อยู่ IP ใน SAN และ CN ในกรณีนี้คืออะไร

# IPv4 localhost
# IP.1       = 127.0.0.1

# IPv6 localhost
# IP.2     = ::1

— ชุมชน
แหล่งที่มา

คุณช่วยเพิ่มเส้นทางเริ่มต้นไปยังไฟล์กำหนดค่าได้ไหม - - คุณช่วยแสดงกระบวนการทำงานที่สมบูรณ์ได้ไหม เกี่ยวกับการส่งไฟล์ไปยังคำสั่ง openssl เป็นต้น - - ฉันไม่สามารถจัดการกับคำตอบก่อนหน้าได้สำเร็จดังนั้นข้อมูลที่ต้องการทั้งหมดจะได้รับการชื่นชม

— LéoLéopold Hertz

@Masi - "คุณช่วยเพิ่มพา ธ เริ่มต้นไปยังไฟล์ปรับแต่งได้ไหม" - ไม่แน่ใจคุณหมายถึงอะไร. คุณสามารถบันทึกได้ทุกที่ที่คุณต้องการ ฉันเรียกใช้จากเดสก์ท็อปในหลาย ๆ เครื่องและไดเรกทอรีบ้านของฉันกับคนอื่น ๆ sudoผมสังเกตเห็นที่คุณใช้ บางทีคุณไฟล์เป็นเจ้าของโดย.rnd ถ้าเป็นเช่นนั้นลองroot sudo chown -R masi:masi /home/masiจากนั้นคุณจะสามารถอ่านและเขียนมันได้

ตอนนี้ฉันใช้ Debian เท่านั้นไม่ใช่ Ubuntu แล้วก็รูทเท่านั้น กรุณาเพิ่มขั้นตอนการทำงานของคุณเป็นตัวอย่างเกี่ยวกับไฟล์ keepinv ในเดสก์ท็อปและส่งต่อ ฉันไม่มีภาพที่ชัดเจนเกี่ยวกับระบบ

— LéoLéopold Hertz

รันหนึ่งในคำสั่งที่แสดงรายการไว้ที่ส่วนหัวของไฟล์ ความคิดเห็นมีไว้สำหรับคัดลอก / วาง เลือกหนึ่งที่เหมาะกับรสนิยมของคุณ หากคุณยังคงพยายามที่จะสร้างตัวเองลงนามแล้วคุณเรียกใช้คำสั่งด้วยx509มัน (เช่นเดียวกับความคิดเห็นพูดว่า)

ผู้เขียนขอให้ลบโพสต์นี้ "เนื่องจากการเปลี่ยนแปลง CA / B" แต่เนื่องจากจำนวนโหวตและความช่วยเหลือที่เป็นไปได้ที่มีให้ในช่วงหลายปีที่ผ่านมาฉันได้กู้คืนแล้ว รับคำแนะนำในโพสต์ตามที่ได้รับเมื่อมันได้รับ

— Jeff Schaller

CommonNameควรจะสอดคล้องกับสิ่งที่จะถูกส่งไปเป็นHost: ส่วนหัวในการร้องขอ HTTP ในกรณีของคุณนั่นก็คือ192.168.1.107 (ไม่มีเครื่องหมายทับ)

กำหนดค่าชื่อโฮสต์สำหรับเว็บเซิร์ฟเวอร์

ส่วนตัวฉันจะกำหนดค่าชื่อโฮสต์ที่จำง่ายสำหรับเว็บเซิร์ฟเวอร์ ในการกำหนดค่า Apache อีเมลหรือการกำหนดค่าโฮสต์เสมือนของคุณ (น่าจะเป็น /etc/apache2/sites-enabled/000-default.confสำหรับการแจกแจงแบบเดเบียน) ให้ใช้ServerNameหรือServerAliasคำสั่งเช่น

ServerName owncloud.masi

รีสตาร์ท Apache แล้วกำหนดค่า DNS หรือเพิ่มรายการในไคลเอนต์แต่ละรายการ/etc/hostsเพื่อชี้ไปยังที่อยู่ IP ที่ถูกต้องเช่น

192.168.1.107   owncloud.masi

— แอนโทนี่จี - ความยุติธรรมสำหรับโมนิก้า
แหล่งที่มา

เข้าถึง owncloud 192.168.1.107ของฉันอยู่ที่ หัวข้ออื่นบอกว่าคุณควรรวมโดเมนย่อย 192.168.1.107/owncloudฉันคิดว่ามันหมายถึง อย่างไรก็ตามฉันอาจจะผิด

— LéoLéopold Hertz 준영

สมมติว่าคุณใช้ในServerName owncloud.masi .../sites-enabled/000-default.confเป็นCOMMONNAMEของคีย์ SSL แล้วowncloud.masi ?

— LéoLéopold Hertz 준영

ที่อยู่ IP จะหยุดทำงานหรือไม่ ในทำนองเดียวกันถ้าคุณใช้ServerAlias?

— LéoLéopold Hertz 준영

การเข้าถึงผ่านที่อยู่ IP ควรใช้งานได้กับ HTTP BTW เรามาถึงขีด จำกัด ของความคิดเห็น (ดังนั้นฉันจึงได้ลบคำตอบก่อนหน้านี้สำหรับคำถามของคุณ) และฉันจะต้องออกจากระบบในไม่ช้า

— Anthony G - ความยุติธรรมสำหรับโมนิก้า

"CommonName ควรสอดคล้องกับสิ่งใดก็ตามที่ส่งเป็นส่วนหัว Host: ในคำขอ HTTP" - ผิด การวางชื่อโฮสต์เป็นชื่อสามัญนั้นถูกคัดค้านโดยทั้ง IETF และ CA / B ชื่อเซิร์ฟเวอร์และที่อยู่ IP จะอยู่ในชื่อสำรองของหัวเรื่องเสมอตามฟอรัม IETF และ CA / B โปรดดูเพิ่มเติมที่คุณเซ็นชื่อคำขอลงนามใบรับรองกับผู้ให้บริการออกใบรับรองของคุณและวิธีสร้างใบรับรองที่ลงนามด้วยตนเองด้วย openssl ได้อย่างไร