কীভাবে আমি স্ব-স্বাক্ষরিত শংসাপত্র তৈরি করতে পারি যা SHA-1 এর চেয়ে শক্তিশালী?

8

বিকাশের পরিবেশের জন্য, আমি আইআইএস 7.5-এ স্ব-স্বাক্ষরিত শংসাপত্র তৈরি করতে পারি। তবে সেই শংসাপত্রটি SHA-1 এবং সম্প্রতি ব্রাউজারগুলি এটি সম্পর্কে অভিযোগ করছে। আমি যখন ফায়ারব্যাগ খুলি তখন আমি নিম্নলিখিত সতর্কতাগুলি দেখি:

"এই সাইটটি একটি SHA-1 শংসাপত্র ব্যবহার করে; আপনি SHA-1 এর চেয়ে শক্তিশালী হ্যাশ ফাংশন ব্যবহার করে এমন স্বাক্ষর অ্যালগরিদম সহ শংসাপত্র ব্যবহার করার পরামর্শ দেয়।"

সুতরাং আমার প্রশ্নগুলি হ'ল:

1) SHA-1 এর চেয়ে শক্তিশালী স্ব-স্বাক্ষরিত শংসাপত্র তৈরি করার কোনও উপায় আছে কি?

2) যদি না হয়, তবে এই সতর্কতাগুলি দেখানো বন্ধ করতে ব্রাউজারকে বলার কোনও উপায় আছে কি?

হালনাগাদ

আমি @vcsjones উত্তর ব্যবহার করে শেষ করেছি, তবে এটি আমাকে এখনও পর্যন্ত পেয়েছে। সেখানে এটি বেশ কয়েকটি সমস্যা সমাধানের আগে আমাকে সমাধান করতে হয়েছিল।

1) কোনও কারণে আমি পাসওয়ার্ড সহ শংসাপত্র আমদানি করতে পারিনি। সুতরাং আমি এটি ছাড়াই এটি তৈরি করে শেষ করেছি।

2) আমি আইআইএসের মাধ্যমে .pfx শংসাপত্র আমদানি করার সময়, সম্পাদনার বাইন্ডিংগুলিতে নতুন শংসাপত্র প্রয়োগ করার চেষ্টা করার সময় আমি "একটি নির্দিষ্ট লগনের সেশন উপস্থিত নেই" পেয়েছি। সুতরাং আমি সামান্য গবেষণা করেছিলাম এবং এই এসও উত্তরটি কার্যকর হ'ল , বিশেষত মাইক এল এর উত্তরটি।

আরেকটি জিনিস আমি যুক্ত করব যে আপনি যখন শংসাপত্র আমদানি করছেন, দয়া করে .pfx শংসাপত্র নির্বাচন করতে ভুলবেন না। আমদানি উইজার্ডের ডিফল্ট নির্বাচনটি * .cer যা আপনি আমদানি করতে পারেন (আমার ভুল হয়েছে) তবে আমি আইআইএস সার্ভার শংসাপত্রগুলিতে শংসাপত্র দেখতে সক্ষম হইনি। আমি যখন কাছ থেকে তাকালাম তখন এটি আইকনটিতে সামান্য কী হারিয়েছিল। এখন, আমি গবেষণা করেছি যে আমি KB-889651 নিবন্ধের মাধ্যমে এটি মেরামত করতে সক্ষম হয়েছি । সুতরাং আপনি .pfx আমদানি করে তা নিশ্চিত করুন এবং এটি মেরামত না করে কাজ করবে।

আরেকটি নোট, যদি আপনার এই শংসাপত্রের সাথে বিশ্বাসের সমস্যা থাকে তবে এটিকে "বিশ্বাসযোগ্য রুট শংসাপত্র কর্তৃপক্ষ" তেও আমদানি করে।

iis-7.5  self-signed-certificate 
CrnaStena
সূত্র

উত্তর:

8

অবশ্যই। makecertউপযোগ যে তা করতে পারে উইন্ডোজ SDK এর অংশ:

makecert -len 2048 -r -a sha256 -sv private.pvk -n CN=localhost cert.cer

-aপরামিতি হ্যাশ অ্যালগরিদম সেট করে। এটি একটি পিভিকে এবং একটি ডিইআর .cer ফাইল আউট করে। আপনি অবশ্যই সাধারণ নামটিকে যে কোনও কিছুতে পরিবর্তন করতে পারেন, আমি উদাহরণ হিসাবে লোকাল হোস্টটি ব্যবহার করেছি। আপনি এগুলি একটি পিএফএক্সের সাথে সংযুক্ত করতে পারেন (এসআইডির একটি অংশও) ব্যবহার করে আইআইএস শংসাপত্র আমদানির সময় ব্যবহার করতে পছন্দ করে pvk2pfx:

pvk2pfx -spc cert.cer -pvk private.pvk -pfx out.pfx

এটি কেবল makecertউত্পন্ন দুটি ফাইল নেয় এবং এগুলিকে একটি পিকেসিএস 12 .pfx ফাইলের সাথে সংযুক্ত করে।

ফলাফল প্রাপ্ত পিএফএক্স ফাইলের সাহায্যে আপনি আইআইএস খুলবেন এবং এটি সার্ভার শংসাপত্রের আওতায় আমদানি করবেন, তারপরে নতুন শংসাপত্রটি ব্যবহার করার জন্য আপনার সাইটের বাইন্ডিংগুলি পরিবর্তন করবেন।

vcsjones
সূত্র
আমি এটি তৈরি করেছি, তবে আমি cert.cer এবং আউট.পিএফএক্স কোথায় পাই?
পিটার
1
@ পেটার এটি কনসোলের ওয়ার্কিং ডিরেক্টরি যা-ই হোক না কেন। আপনি C:\Path\ToADirectory>কমান্ড প্রম্পটে এমন কিছু দেখতে পাবেন । এটি আপনার কাজের ডিরেক্টরি।
vcsjones
আমি যখন একটি পাসওয়ার্ড জিজ্ঞাসা করেছি I.pfx আমদানি করার চেষ্টা করেছি I আমি আপনার মন্তব্যটি ব্যবহার করে শংসাপত্র তৈরি করার সময় আমি যে পাসওয়ার্ডটি সেট করেছি তা টাইপ করেছিলাম B তবে এটি ব্যর্থ হয়েছে, আপনি কারণটি জানেন?
পিটার
vcsjones আমি সিস্টেমে সার্টিফিকেট ইনস্টল করেছি এবং তারপরে আমি আইআইএন-তে বিনিন্ড সেট করেছিলাম, যখন আমি ফায়ারফক্সে ব্রাউজ করি এটি খুলছে না, তবে আইইতে আমি ত্রুটি প্রম্পট চালিয়েছি এবং ওয়েবসাইটটি দেখতে সক্ষম হয়েছি, তবে এটি শিরোনামের মতো আইকনটি বিশ্বাসযোগ্য নয় শংসাপত্র কর্তৃপক্ষ
পিটার
1
একটি বিষয় লক্ষণীয় হ'ল মেকারেট এখন অবচয় করা হয়েছে। উইন্ডোজ 8.1 / উইন্ডোজ সার্ভার 2012 আর 2 এবং উচ্চতরগুলির জন্য, আপনি তার পরিবর্তে এখানে বর্ণিত পাওয়ারশেল কমান্ডটি ব্যবহার করতে পারেন: stackoverflow.com/a/19446469/914490
মাইক
6

আমি কাজের জায়গায় একটি লকড ডাউন উইন্ডোজ 7 এন্টারপ্রাইজ কম্পিউটার ব্যবহার করছি এবং এর ফলে অ্যাক্সেস পেতে আমি উইন্ডোজ এসডিকে ইনস্টল করতে অক্ষম makecert। আমি কীভাবে আমার sha256 স্ব-স্বাক্ষরিত শংসাপত্রটি তৈরি করেছি তা এখানে ( https://core.telegram.org/bots/self-signed থেকে নেওয়া ):

  1. আপনি কোন ডিরেক্টরিতে আপনার শংসাপত্রটি সংরক্ষণ করতে চান তা সিদ্ধান্ত নিন

  2. template.txtনিম্নলিখিত ডিরেক্টরিগুলির সাথে ডাকা সেই ডিরেক্টরিতে একটি পাঠ্য ফাইল তৈরি করুন :

    [NewRequest]

; At least one value must be set in this section
Subject = "CN={your.domain.com}"
KeyLength = 2048
KeyAlgorithm = RSA
HashAlgorithm = sha256
;MachineKeySet = true
RequestType = Cert
UseExistingKeySet=false ;generates a new private key (for export)
Exportable = true ;makes the private key exportable with the PFX

  3. {your.domain.com}আপনি নিজের সাইটে অ্যাক্সেস করতে যে ঠিকানাটি ব্যবহার করবেন তা প্রতিস্থাপন করুন"CN=localhost"

  4. একটি কমান্ড প্রম্পট খুলুন এবং আপনার শংসাপত্র ডিরেক্টরিতে পরিবর্তন করুন
  5. চালান certreq -new template.txt RequestFileOut
  6. আপনার ক্রমিক নম্বরটি জানতে হবে, তাই certutil -store -user myসিরিয়াল নম্বর অন্তর্ভুক্ত একটি ডাম্প পেতে চালনা করুন
  7. {SERIALNUMBER}ডাম্পের ক্রমিক নম্বর এবং {YOURDER}.crtআউটপুট ফাইলের নামের সাথে প্রতিস্থাপন করুন:certutil -user -store -split my {SERIALNUMBER} {YOURDER}.crt
  8. {YOURDER}.crtইনপুট ফাইলের {YOURPEM}.cerনাম এবং আউটপুট ফাইলের নামের সাথে প্রতিস্থাপন করুন:certutil -encode {YOURDER}.crt {YOURPEM}.cer
  9. {your.domain.com}আপনার প্রকৃত (পরীক্ষা) ডোমেন নাম এবং {YOURPKCS}.pfxআউটপুট ফাইলের নামের সাথে প্রতিস্থাপন করুন:certutil -exportpfx -user {your.domain.com} {YOURPKCS}.pfx NoChain

এর পরে আমি আইআইএস ম্যানেজার, সাইটস -> name সাইটের নাম} -> বাইন্ডিংস ... ("সাইটের সম্পাদনা করুন সাইট" এর অধীনে) গিয়েছিলাম। আমি তারপরে https / 443 এ ক্লিক করেছি কারণ ইতিমধ্যে এটি সেটআপ, সম্পাদনা ... এবং তালিকা থেকে নতুন শংসাপত্রটি নির্বাচন করেছি।

ফায়ারফক্স অভিযোগ করেছে যে আমার সাইটটি স্ব-স্বাক্ষরিত শংসাপত্র ব্যবহার করছে তাই আমি এটিকে কেবল ব্যতিক্রম হিসাবে যুক্ত করেছি, এবং ভয়েলি! এটা কাজ করেছে!

সিজে ডেনিস
সূত্র
এটি কোনও ইনস্টলেশন ছাড়াই সর্বাধিক কার্যকারী উদাহরণ, যা কখনও কখনও প্রোড সার্ভারে সম্ভব হয় না।
ক্ষুধার্ত মন
আমি এটি আমার উইন্ডোজ box বাক্সে কাজ করতে পারি না, তবে এটি সার্ভারে দুর্দান্ত কাজ করেছে ২০১২. পার্শ্ব নোট হিসাবে {yourpem} .cer এবং {yourpkcs.pfx they দুটি কমান্ড দ্বারা উত্পাদিত হয়েছে যা তারা তালিকাভুক্ত রয়েছে। আপনি ' আমি সম্ভবত name yourder} .crt হিসাবে একই নামটি ব্যবহার করতে চাইছি। তাই সরলতার জন্য, {yourcert} .crt, {yourcert} .cer, {yourcert} .pfx
ডাব্লু
0

হ্যাঁ আমি পেয়েছি যে "একটি নির্দিষ্ট লগনের সেশনটি বিদ্যমান নেই" ত্রুটি / সতর্কতা বার্তাও।

আমি ঠিক দ্বিতীয়বার ক্লিক করেছি এবং এটি এটি গ্রহণ করেছে।

anthonymaw
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.