আমি আমার প্রথম সিএ কনফিগার করছি এর উদ্দেশ্যটি হ'ল আমাদের ক্লায়েন্টদের শংসাপত্র জারি করা, যারা এগুলি https- র মাধ্যমে আমাদের ইডিআই পরিষেবা অ্যাক্সেস করতে ব্যবহার করবেন। সুতরাং আমার এসএসএল ক্লায়েন্টের শংসাপত্র তৈরি করতে হবে। শংসাপত্রগুলিতে স্বাক্ষর করার পুরো প্রক্রিয়াটি এখনই কাজ করে এবং শংসাপত্রগুলি সফলভাবে আমাদের পরিষেবা অ্যাক্সেসের জন্য ব্যবহার করা যেতে পারে তবে আমি একটি জিনিস সম্পর্কে উদ্বিগ্ন:
উত্পন্ন শংসাপত্র উদ্দেশ্যে জেনেরিক উপায়:
$ openssl x509 -purpose -noout -in client.crt.pem
Certificate purposes:
SSL client : Yes
SSL client CA : No
SSL server : Yes
SSL server CA : No
Netscape SSL server : Yes
Netscape SSL server CA : No
S/MIME signing : Yes
S/MIME signing CA : No
S/MIME encryption : Yes
S/MIME encryption CA : No
CRL signing : Yes
CRL signing CA : No
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : No
আমি মনে করি যে আমার ক্ষেত্রে এসএসএল ক্লায়েন্ট এবং এস / মাইম সাইন ছাড়া অন্য কোনও উদ্দেশ্য হওয়া উচিত না। আমি কি ভুল করছি এবং এটি কি এটির মতোই থাকা উচিত?
যদি আমি সঠিক এবং আমার অন্য উদ্দেশ্যগুলি অক্ষম করা উচিত, তবে আমার ওপেনএসএল সিএনএফ কনফিগে আমার কী রাখা উচিত?
এখানে আমার বর্তমান কনফিগারেশন (কিছুটা ফেলা):
[ CA_edi ]
# here was directory setup and some other stuff, cut it for clarity
x509_extensions = usr_cert # The extentions to add to the cert
name_opt = ca_default # Subject Name options
cert_opt = ca_default # Certificate field options
# Extension copying option: use with caution.
# copy_extensions = copy
# stripped rest of config about validity days and such
[ usr_cert ]
basicConstraints=CA:FALSE
nsCertType = client, email
keyUsage = nonRepudiation, digitalSignature, keyEncipherment, keyAgreement
উত্সাহিত শংসাপত্রগুলি সার্ভারের ব্যবহারের জন্য মঞ্জুরি দেয় এমন আমি কী ভুল করছি?
openssl x509 -text -nameopt multiline -certopt no_sigdump -certopt no_pubkey -noout -in one_of_your_client_certificates.pemনিজের openssl.cnfফাইল থেকে আউটপুট এবং এক্সটেনশন বিভাগের একটি অনুলিপি অন্তর্ভুক্ত করতে পারেন তবে আমি আরও নির্দিষ্ট পরামর্শ প্রদান করতে পারি কিনা তা আমি দেখতে পাচ্ছি।