কোনও ডোমেনে রুট শংসাপত্রের ব্যবহার সীমাবদ্ধ করা কি সম্ভব?

আমার গ্রাহক কোনও অ্যাপ্লিকেশন কাজ করার জন্য স্ব স্বাক্ষরিত শংসাপত্র ব্যবহার করে। কাজ করতে সক্ষম হতে, আমাকে শংসাপত্রটিতে স্বাক্ষর করতে ব্যবহার করা মূল শংসাপত্রটি ইনস্টল করতে হবে।

কোনও শংসাপত্রটি কনফিগার করা কি এটি কেবল একটি ডোমেনের দিকে বৈধতা দেওয়া সম্ভব?

একটি চলতি নিয়ম হিসাবে:

না , গ্রাহকের সিএ শংসাপত্রের উপর বিশ্বাস স্থাপন করা সেই সিএ স্বাক্ষরিত প্রতিটি শংসাপত্রের উপর বিশ্বাস is

আমি এমন কোনও অ্যাপ্লিকেশন / লাইব্রেরি সম্পর্কে জানি না যার একটি সহজ বিকল্প রয়েছে যা আপনাকে শেষ ব্যবহারকারী হিসাবে এটি নির্বাচন করতে দেয় যে আপনি আপনার গ্রাহকদের বা অন্য কোনও সিএ শংসাপত্রকে কেবলমাত্র কয়েকটি নির্দিষ্ট (সাব) ডোমেইনের জন্য বিশ্বাস করবেন অর্থাৎ কেবল * জন্য। উদাহরণ.কম এবং * .example.org এবং কিছুই নয়।

মোজিলাকে বর্তমানে বিশ্বস্ত সরকার স্পনসর করা সিএ-এর একটি মুক্ত মনোযোগ পয়েন্ট হিসাবে অনুরূপ উদ্বেগ রয়েছে এবং উদাহরণস্বরূপ , গুগল সাইটগুলিতে অ্যাক্সেসের জন্য ক্রোমের অতিরিক্ত চেক তৈরি করা হয়েছে, এটিই ছিল দুর্বৃত্ত * .google.com শংসাপত্র এবং ডিজিনোটার সিএ-এর সমঝোতা জনসাধারণ্যে পরিণত হয়েছিল ।

আপনি সিএকে বিশ্বাস না করলেও, আপনি এখনও সেই সিএ স্বাক্ষরিত একটি নির্দিষ্ট সার্ভার শংসাপত্র আমদানি / বিশ্বাস করতে পারেন, যা এই শংসাপত্রের হোস্টনামগুলির জন্য এসএসএল সতর্কতাগুলি রোধ করবে। এটি ত্রুটি বা অভিযোগ ছাড়াই আপনার অ্যাপ্লিকেশনটিকে কাজ করা উচিত।

ব্যতিক্রমসমূহ:

এক্স.509v3 পিকেআই স্ট্যান্ডার্ডের একটি খুব নিম্নচিকিত বিকল্প হ'ল নাম সীমাবদ্ধতা এক্সটেনশন, যা কোনও সিএ শংসাপত্রকে হোয়াইট- এবং ডোমেন নামের ধরণগুলির ব্ল্যাকলিস্টের জন্য এতে শংসাপত্র দেওয়ার জন্য অনুমোদিত is

আপনি ভাগ্যবান হতে পারেন এবং আপনার গ্রাহকরা তাদের পিকেআই অবকাঠামো স্থাপন করার সময় এবং তাদের সিএ শংসাপত্রের মধ্যে সেই নামের সীমাবদ্ধতা অন্তর্ভুক্ত করার সময় নিজেকে সংযত করেছিলেন। তারপরে আপনি তাদের সিএ শংসাপত্রটি সরাসরি আমদানি করতে পারেন এবং জেনে রাখতে পারেন যে এটি কেবলমাত্র ডোমেন নামের একটি সীমিত পরিসরে বৈধতা দিতে পারে।

@ ক্রাইপ্টোগুইয়ের এখানে একটি দুর্দান্ত উত্তর ছিল, তবে আমি এটিতে প্রসারিত করতে চেয়েছিলাম।

প্যারাফ্রেজ করতে:

আপনি তৃতীয় পক্ষের সিএকে নিজের ইচ্ছামত একটি নামের তালিকায় ইস্যু করা শংসাপত্রগুলির (সেই সিএ থেকে) সীমাবদ্ধ করতে পারেন। এমনকি তৃতীয় পক্ষের সিএতে নাম সীমাবদ্ধতা এক্সটেনশন না থাকলেও ক্রস-শংসাপত্রের মাধ্যমে আপনার নিজের অভ্যন্তরীণ সিএ সার্ভার ব্যবহার করে সেগুলি প্রয়োগ করা সম্ভব। কৌশলটি হ'ল আপনি নিজের অভ্যন্তরীণ সিএ ব্যবহার করে তৃতীয় পক্ষের সিএতে স্বাক্ষর করছেন।

লিফের এসএসএল শংসাপত্র -> ক্রস শংসাপত্র -> আপনার সিএ শংসাপত্র -> আপনার অভ্যন্তরীণ মূল শংসাপত্র।

এবং আপনি সেই কাজটি কীভাবে করবেন তা এখানে (ওপেনএসএসএল কমান্ড লাইন সিএ ব্যবহার করে)

একটি সাধারণ সিএ তৈরি করুন

openssl req -new -x509 -days 3650 -newkey rsa:2048 -sha256 -out root-ca.crt -keyout root-ca.key -subj "/CN=My Root CA"

আপনি একটি মধ্যবর্তী সিএ তৈরি এড়িয়ে যেতে পারেন

নামের সীমাবদ্ধতা সহ একটি মধ্যবর্তী সিএ অনুরোধ তৈরি করুন।

openssl req -new -days 3650 -newkey rsa:2048 -out domain-ca.req -sha256 -keyout domain-ca.key -config ossl_domain_com.cfg

এই সঙ্গে ossl_domain_com.cfgফাইল:

[ req ]
prompt=no
distinguished_name=req_distinguished_name
req_extensions=domain_ca

[ req_distinguished_name ]
CN=somedomain.com trust CA

[ domain_ca ]
basicConstraints=critical,CA:true,pathlen:1
nameConstraints=critical,permitted;DNS:.somedomain.com

তারপরে, আপনার সিএ সহ ইন্টারমিডিয়েট ডোমেন সিএ সাইন করুন।

openssl x509 -req -in domain-ca.req -CA root-ca.crt -CAkey root-ca.key -sha256 -set_serial 1 -out domain-ca.crt -extensions domain_ca -extfile ossl_domain_com.cfg

আপনি যদি মাঝারিটি তৈরিটি এড়িয়ে যান তবে স্বাক্ষর করতে আপনার রুট সিএ ব্যবহার করুন

এখন আপনার কর্তৃত্বের অধীনে আসল ডোমেনের সিএ পুনরায় স্বাক্ষর করুন, তাদের শংসাপত্র ব্যবহার করে। আপনি সিএ এক্সটেনশনগুলি এখানে যুক্ত করতে পারেন।

openssl x509 -in third_party_ca.crt -CA domain-ca.crt -CAkey domain-ca.key -set_serial 47 -sha256 -extensions domain_ca -extfile ossl_domain_com.cfg -out domain-cross-ca.crt

-x509-to-reqএকটি অনুরোধ তৈরি করতে আপনার আর্গুমেন্টটি ব্যবহার করতে হতে পারে , যা আপনি উপরের মধ্যবর্তী হিসাবে ঠিক একইভাবে সাইন ইন করবেন।

এখন, আপনার ব্রাউজারের বিশ্বাস ডাটাবেসে আপনার মূল সিএ, মধ্যবর্তী সিএ এবং ডোমেন-ক্রস-সিএ যুক্ত করুন।