হ্যাঁ, এটি ঠিক কাজ করে; উইন্ডোজ শংসাপত্র কর্তৃপক্ষের একটি উইন্ডোজবিহীন মূলের অধীনস্থ হিসাবে চালানোর কোনও মান নেই।
একটি ওপেনএসএসএল রুট এবং একটি উইন্ডোজ 2008 আর 2 এন্টারপ্রাইজ মোডে অধস্তন সাথে পরীক্ষিত।
এমএস সিএ যা ওপেনএসএসএল কনফিগারেশনে প্রত্যাশা করে তা নিয়ে খেলতে বেশ কয়েকটি জিনিস:
স্ব-স্বাক্ষরিত রুটের জন্য বিভাগের x509_extensions
সম্পত্তি দ্বারা কনফিগার করা বিভাগে, বৈধ এআইএ এবং সিডিপি অবস্থানগুলি রুট শংসাপত্রের জন্য প্রয়োগ করা উচিত [req]
। এই লাইন বরাবর কিছু:
authorityInfoAccess = caIssuers;URI:http://test-rootca.test.local/root.pem
crlDistributionPoints = URI:http://test-rootca.test.local/root.crl
একটি প্রদত্ত ওপেনএসএসএল কনফিগারেশন সম্ভবত অধস্তন সিএগুলি ডিফল্টরূপে অনুমতি দেয় না। স্বাক্ষরিত অনুরোধগুলির জন্য এটি পরিবর্তন করুন (নিশ্চিত করুন যে অনুরোধগুলির অবশ্যই সিএ হওয়া উচিত নয়) this এটি বিভাগের x509_extensions
সম্পত্তি দ্বারা কনফিগার করা [ca]
বিভাগে থাকবে:
basicConstraints=CA:TRUE
certificatePolicies=2.5.29.32.0
সুতরাং, আমরা পরীক্ষার জন্য একটি সিএ করব।
আপনার মূল তৈরি করুন:
openssl req -new -x509 -keyout /etc/ssl/private/root.key -out /etc/ssl/certs/root.pem -nodes -extensions v3_ca
আপনার কনফিগারেশনের সাথে ফিডল এবং [ca]
আপনার ওপেনএসএসএল কনফিগারেশনের বিভাগে প্রয়োজনীয় ফাইল এবং ডিরেক্টরি তৈরি করুন ।
মাইক্রোসফ্টের যাবতীয় দিকটি পেতে প্রস্তুত; ম্যানুয়াল স্বাক্ষর সহ একটি উইন্ডোজ অধস্তন সিএ তৈরি করুন।
ওপেনএসএসএল সার্ভারে শংসাপত্রের অনুরোধটি আপলোড করুন। আপনি এটির সময়ে, রুট শংসাপত্রটি ডাউনলোড করুন। এটি আপনার ব্যবহারকারী নয়, কম্পিউটারের - বিশ্বস্ত শিকড়ের দোকানে আমদানি করুন!
অধস্তন শংসাপত্র জারি করুন:
openssl ca -in test-subca.req
(you might need to specify a permissive policy manually with -policy, check your config)
যদি এটি কাজ না করে তবে আপনার সিএর মধ্যে সম্ভবত কনফিগারেশনের সমস্যা রয়েছে - নতুন শংসাপত্রের ডিরেক্টরি, সূচি ফাইল, সিরিয়াল ফাইল ইত্যাদি ত্রুটি বার্তাটি পরীক্ষা করুন।
যদি এটি যায়, তবে এটি। যদি আপনার না থাকে তবে একটি সিআরএল তৈরি করুন এবং এটি সিডিপিতে রাখুন যা আপনি উপরে কনফিগার করেছেন; আমি সবেমাত্র অ্যাপাচি ইনস্টল করেছি এবং এটি ওয়েবরোটে জ্যাম করেছি:
openssl ca -gencrl -out /var/www/root.crl
এবং আপনার শংসাপত্রটি এআইএ অবস্থানে রাখুন, যদি এটি ইতিমধ্যে না থাকে:
cp /etc/ssl/certs/root.pem /var/www/root.pem
নতুন জারি করা অধস্তন শংসাপত্র ডাউনলোড করুন এবং শংসাপত্র কর্তৃপক্ষ এমএমসি স্ন্যাপ-ইন দিয়ে সিএ এ ইনস্টল করুন। এটি বিশ্বাস বা বৈধতা নিয়ে যে কোনও সমস্যা নিয়েই আঁকড়ে ধরবে, তবে এটি গ্রহণে এর কোনও নৈতিক আপত্তি নেই।
শেষ ফলাফল; এন্টারপ্রাইজ পিকেআই স্ন্যাপ-ইন থেকে কোনও বৈশিষ্ট্যযুক্ত কোনও বিবৃতি সহ কোনও উইন্ডোজ সিএ অভিযোগ OpenSSL Generated Certificate
না করে।