এমএস শংসাপত্র পরিষেবাদি ওপেনএসএসএল দিয়ে তৈরি সিএর অধস্তন হতে পারে


16

আমি আমার ডোমেনের জন্য একটি এন্টারপ্রাইজ শংসাপত্র কর্তৃপক্ষ সেটআপ করতে চাই। তাই আমি বিভিন্ন উদ্দেশ্যে শংসাপত্র জারি করতে পারি। আমি মূল হিসাবে অফলাইন সিএ থাকার সর্বোত্তম অনুশীলনটি অনুসরণ করতে চাই এবং আমার এন্টারপ্রাইজ সিএটিকে অধস্তন হিসাবে সেটআপ করব। তবে এই কাজের জন্য উইন্ডোজের একটি সম্পূর্ণ অনুলিপি লাইসেন্স করা নির্বোধ বলে মনে হচ্ছে।

আমি যা করতে সক্ষম হব তা হ'ল একটি ইউএসবি ফ্ল্যাশ ডিস্কে কিছু লাইভ বিতরণ ইনস্টল করা এবং তারপরে ওপেনসেল ইনস্টল করা এবং ফ্ল্যাশ ড্রাইভে আমার সিএ সেটআপ করা। আমি যখন রুট কী / সারটি তৈরির জন্য প্রস্তুত আছি তখন আমি কম্পিউটারটি কম্পিউটার থেকে সংযোগ বিচ্ছিন্ন করব এবং তারপরে আর কখনও কখনও কোনও সংযুক্ত কম্পিউটারে সেই ইউএসবি ডিস্কটি ব্যবহার করব না।

আমি কি কোনও উইন্ডোজ এন্টারপ্রাইজ সিএর জন্য অধস্তন সিএ শংসাপত্রটি সঠিকভাবে স্বাক্ষর করতে এবং তৈরি করতে সক্ষম হব, এটি ব্যবহারযোগ্য হবে। সিএ তৈরি করতে এবং অধস্তন সিএ শংসাপত্রটি সঠিকভাবে স্বাক্ষর করতে আমার ওপেনএসএসএল দিয়ে কী বিকল্পগুলি ব্যবহার করতে হবে।

আমি ওয়েবে অনুসন্ধান করার চেষ্টা করেছি এবং এই বিষয়টিতে এটিই আমি খুঁজে পেতে পারি। তবে এটি ২০০৮ এর পূর্বাভাস দেয় এবং আমি নিশ্চিত নই যে ব্যক্তিটি প্রতিটি সফল ছিল।


স্পষ্ট করে বলতে গেলে, সরঞ্জামটি অগত্যা ওপেনএসএসএল হতে হবে না, তবে আমি ইজেবিসিএর মতো বিশাল সিএ চালাতে চাই না। আমি খুব হালকা ওজনের সিএ খুঁজছি যা লাইভসিডি / লাইভাস্ব পরিবেশে চালানো যায়।
জোড়াদেচি

উত্তর:


14

হ্যাঁ, এটি ঠিক কাজ করে; উইন্ডোজ শংসাপত্র কর্তৃপক্ষের একটি উইন্ডোজবিহীন মূলের অধীনস্থ হিসাবে চালানোর কোনও মান নেই।

একটি ওপেনএসএসএল রুট এবং একটি উইন্ডোজ 2008 আর 2 এন্টারপ্রাইজ মোডে অধস্তন সাথে পরীক্ষিত।


এমএস সিএ যা ওপেনএসএসএল কনফিগারেশনে প্রত্যাশা করে তা নিয়ে খেলতে বেশ কয়েকটি জিনিস:

  • স্ব-স্বাক্ষরিত রুটের জন্য বিভাগের x509_extensionsসম্পত্তি দ্বারা কনফিগার করা বিভাগে, বৈধ এআইএ এবং সিডিপি অবস্থানগুলি রুট শংসাপত্রের জন্য প্রয়োগ করা উচিত [req]। এই লাইন বরাবর কিছু:

    authorityInfoAccess = caIssuers;URI:http://test-rootca.test.local/root.pem
    crlDistributionPoints = URI:http://test-rootca.test.local/root.crl
    
  • একটি প্রদত্ত ওপেনএসএসএল কনফিগারেশন সম্ভবত অধস্তন সিএগুলি ডিফল্টরূপে অনুমতি দেয় না। স্বাক্ষরিত অনুরোধগুলির জন্য এটি পরিবর্তন করুন (নিশ্চিত করুন যে অনুরোধগুলির অবশ্যই সিএ হওয়া উচিত নয়) this এটি বিভাগের x509_extensionsসম্পত্তি দ্বারা কনফিগার করা [ca]বিভাগে থাকবে:

    basicConstraints=CA:TRUE
    certificatePolicies=2.5.29.32.0
    

সুতরাং, আমরা পরীক্ষার জন্য একটি সিএ করব।

আপনার মূল তৈরি করুন:

openssl req -new -x509 -keyout /etc/ssl/private/root.key -out /etc/ssl/certs/root.pem -nodes -extensions v3_ca

আপনার কনফিগারেশনের সাথে ফিডল এবং [ca]আপনার ওপেনএসএসএল কনফিগারেশনের বিভাগে প্রয়োজনীয় ফাইল এবং ডিরেক্টরি তৈরি করুন ।

মাইক্রোসফ্টের যাবতীয় দিকটি পেতে প্রস্তুত; ম্যানুয়াল স্বাক্ষর সহ একটি উইন্ডোজ অধস্তন সিএ তৈরি করুন।

ওপেনএসএসএল সার্ভারে শংসাপত্রের অনুরোধটি আপলোড করুন। আপনি এটির সময়ে, রুট শংসাপত্রটি ডাউনলোড করুন। এটি আপনার ব্যবহারকারী নয়, কম্পিউটারের - বিশ্বস্ত শিকড়ের দোকানে আমদানি করুন!

অধস্তন শংসাপত্র জারি করুন:

openssl ca -in test-subca.req
(you might need to specify a permissive policy manually with -policy, check your config)

যদি এটি কাজ না করে তবে আপনার সিএর মধ্যে সম্ভবত কনফিগারেশনের সমস্যা রয়েছে - নতুন শংসাপত্রের ডিরেক্টরি, সূচি ফাইল, সিরিয়াল ফাইল ইত্যাদি ত্রুটি বার্তাটি পরীক্ষা করুন।

যদি এটি যায়, তবে এটি। যদি আপনার না থাকে তবে একটি সিআরএল তৈরি করুন এবং এটি সিডিপিতে রাখুন যা আপনি উপরে কনফিগার করেছেন; আমি সবেমাত্র অ্যাপাচি ইনস্টল করেছি এবং এটি ওয়েবরোটে জ্যাম করেছি:

openssl ca -gencrl -out /var/www/root.crl

এবং আপনার শংসাপত্রটি এআইএ অবস্থানে রাখুন, যদি এটি ইতিমধ্যে না থাকে:

cp /etc/ssl/certs/root.pem /var/www/root.pem

নতুন জারি করা অধস্তন শংসাপত্র ডাউনলোড করুন এবং শংসাপত্র কর্তৃপক্ষ এমএমসি স্ন্যাপ-ইন দিয়ে সিএ এ ইনস্টল করুন। এটি বিশ্বাস বা বৈধতা নিয়ে যে কোনও সমস্যা নিয়েই আঁকড়ে ধরবে, তবে এটি গ্রহণে এর কোনও নৈতিক আপত্তি নেই।

শেষ ফলাফল; এন্টারপ্রাইজ পিকেআই স্ন্যাপ-ইন থেকে কোনও বৈশিষ্ট্যযুক্ত কোনও বিবৃতি সহ কোনও উইন্ডোজ সিএ অভিযোগ OpenSSL Generated Certificateনা করে।

পরিশ্রমী-সিএ


6

আপনি যা পেয়ে যাচ্ছেন তা আমি দেখতে পাচ্ছি, তবে আমি মনে করি না ওপেনএসএসএল এই কাজের জন্য বেশ সরঞ্জাম। আপনি ওপেন সোর্স শংসাপত্র কর্তৃপক্ষের প্রকল্পগুলি যেমন ইজেবিসিএর দিকে নজর রাখতে চাইতে পারেন যা ওপেনএসএসএল-এর চেয়ে এই কার্যকারিতাটিতে বেশি মনোনিবেশিত এবং আপনি ব্যবহার করতে পারেন এমন নির্দিষ্ট ডকুমেন্টেশন রয়েছে।

ধারণাটি কার্যকর না হওয়ার কারণ আমি দেখতে পাচ্ছি না, যেহেতু আপনি যা করছেন তা অধীনস্থ সিএর শংসাপত্রে স্বাক্ষর করছেন। আপনি যদি এটি করার জন্য যদি কোনও পাবলিক সিএ প্রদান করে থাকেন তবে তারা প্রয়োজনীয় সার্ভারের স্বাদ কী ব্যবহার করছে তা আপনি জানেন না বা যত্ন নেবেন না।

আপনার যে সমস্ত যত্ন নেওয়া উচিত তা হ'ল:

  • আপনি আপনার অধস্তন দ্বারা উত্পাদিত সিএসআর থেকে শংসাপত্রটি স্বাক্ষর করতে পারেন
  • ফলাফলটি অধীনস্থতে নিজেই ইনস্টল করা যেতে পারে
  • আপনার কাছে একটি রুট সাইনিং শংসাপত্র রয়েছে যা আপনি যে ক্লায়েন্টকে টার্গেট করছেন তাতে বিশ্বস্ত হিসাবে ইনস্টল করা যেতে পারে
  • আপনি একটি প্রত্যাহার তালিকা তৈরি করতে পারেন যা কোথাও পরিবেশন করা হয়েছে

আমি এটি করতে পারি তা বলতে পারি না তবে আমি নিশ্চিত যে আপনি যদি উইন্ডোজ বাক্স থেকে সিএসআর তৈরির জন্য ডক্স অনুসরণ করেন, তবে কোনও সিএসআর থেকে একটি .p7k শংসাপত্র তৈরি করার জন্য আপনার সিএ ডক্স অনুসরণ করুন, তবে আপনার ভাল হওয়া উচিত।

যাইহোক, আমি আপনাকে একটি হাইপাইজার-ভি বা ভিএমওয়্যারের মতো জনপ্রিয় হাইপারভাইজারের জন্য একটি বুট ডিস্কের পরিবর্তে ভার্চুয়াল মেশিন হিসাবে আপনার সিএ তৈরির পরামর্শ দিচ্ছি, এটি নিশ্চিত করুন যে আপনি এটি খুব সুরক্ষিতভাবে সংরক্ষণ করেছেন কোথাও আপনার উত্তরসূরি এটি খুঁজে পেতে পারেন, এবং এটি স্পিন করুন এটি চালিত হয় তা নিশ্চিত করার জন্য, বা এটি নতুন মিডিয়া / প্রযুক্তিতে স্থানান্তর করুন পর্যায়ক্রমে অফলাইন করুন। একটি মূল সিএ 10 বা 20 বছরের জীবন থাকতে পারে ...


সিএন তৈরির জন্য +1 ওপেনএসএসএল প্রিমিয়ার সরঞ্জাম নয়, তবে এটি সাধারণভাবে কাজ করে। আমি উইন্ডোজ এন্টারপ্রাইজ সিএর জন্য সাব-সিএ সার্টিফিকেট জারি করি নি, তবে কেন এটি কাজ করবে না তা কল্পনা করতে পারি না (যদিও এমএস অতীতে আরও বিপরীত প্রতিযোগিতামূলক ক্রিয়াকলাপ করেছে)। ভিএম হিসাবে সিএর জন্য বড় +1। রুট সার্টের দ্বিতীয় কপি রাখা ভাল ধারণা (কাগজের উপর ভিত্তি 64 খুব টেকসই এবং নিরাপদ / জমা-বাক্স / ইত্যাদি রাখা সহজ)
ক্রিস এস

আমি যখন নিজেকে উপলব্ধি করেছিলাম যে আমি কোনও এনআইসি ছাড়াই একটি ভিএম সেট আপ করতে পারি এবং সিএসআর চালু করতে এবং স্বাক্ষরিত শংসাপত্রগুলি বন্ধ করতে কেবল ভার্চুয়াল ফ্লপি ড্রাইভ ব্যবহার করতে পারি তখন আমি নিজের সাথে খুব সন্তুষ্ট হয়েছিলাম। একবিংশ শতাব্দীর ভার্চুয়াল চকমক নিয়ে স্নোকারনেট পুনর্বার!
dunxd
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.