স্বাক্ষরিত SSL সার্টিফিকেট নবায়ন করা যাবে? কিভাবে?


17

আমি SSL সার্টিফিকেটে মোটামুটি নতুন নই এবং HTTPS এর জন্য স্বাক্ষরিত কোন স্বাক্ষরিত শংসাপত্রটি তার মেয়াদউত্তীর্ণ তারিখটি বাড়ানোর জন্য পুনর্নবীকরণ করা যেতে পারে, যেহেতু সাইটের সমস্ত ক্লায়েন্ট তাদের "ব্যতিক্রম অনুমতি" প্রক্রিয়ার মধ্য দিয়ে যেতে হবে যখন তারা প্রথমবারের মতো সাইটটিতে যান বা যখন স্ক্র্যাচ থেকে তৈরি নতুন স্ব স্বাক্ষরিত শংসাপত্র প্রদান করে।

আমি পাওয়া অনুসরণ অভিভাবকসংবঁধীয় ব্যবহার করে একটি স্ব স্বাক্ষরিত শংসাপত্র পুনর্নবীকরণ দেখাচ্ছে কিভাবে openssl কিন্তু আমি এটি ব্যবহার করতে পারিনি যে আমার ব্রাউজারটি "অবিশ্বাস্য সাইট" সতর্কতা স্ক্রীনটি দেখিয়ে চুপ করে তা গ্রহণ করে:

  # cd /etc/apache2/ssl
  # openssl genrsa -out togaware.com.key 1024
  # chmod 600 togaware.com.key
  # openssl req -new -key togaware.com.key -out togaware.com.csr
    AU
    ACT
    Canberra
    Togaware
    Data Mining
    Kayon Toga
    Kayon.Toga@togaware.com
    (no challenge password)
  # openssl x509 -req -days 365 -in togaware.com.csr \
            -signkey togaware.com.key -out togaware.com.crt
  # mv apache.pem apache.pem.old
  # cp togaware.com.key apache.pem 
  # cat togaware.com.crt >> apache.pem 
  # chmod 600 apache.pem
  # wajig restart apache2

আমার সেটআপ বর্ণিত হিসাবে অনেক সুন্দর এই উত্তর এবং আমি সিআরটি এবং কী ফাইল ব্যবহার করছি (থেকে এই টিউটোরিয়াল ) পরিবর্তে একটি PEM ফাইল, তাই আমি আমার ক্ষেত্রে এটি প্রয়োগ করার চেষ্টা কিছু আপ messed।

তারপর আবার, আমি অনেক স্বতঃ স্বাক্ষরিত শংসাপত্র পুনর্নবীকরণ সম্পূর্ণরূপে অসম্ভব বলে মনে করি এমন অনেক ফোরাম এন্ট্রি খুঁজে পেয়েছি এবং আমি স্ক্র্যাচ থেকে একটি নতুন তৈরি করতে হবে।

কোন সাহায্য প্রশংসা করা হবে ... অথবা এই প্রশ্ন ভাল উপযুক্ত হবে https://serverfault.com/ অথবা https://superuser.com/ ?


7
এই প্রশ্নটি ডাউনভোট করার পরিবর্তে, কী বিষয়ে এটি উন্নত করতে নির্দিষ্ট পরামর্শ দিন।
FriendFX

উত্তর:


22

সংজ্ঞা অনুসারে, স্ব স্ব স্বাক্ষরিত শংসাপত্র শুধুমাত্র মাধ্যমেই বিশ্বস্ত হতে পারে সরাসরি বিশ্বাস , যেমন ফায়ারফক্সের মত কোন ওয়েব ব্রাউজার "ব্যতিক্রম অনুমতি দিন" প্রক্রিয়া হিসাবে দেখায়। শেষ বিট পর্যন্ত, একটি খুব নির্দিষ্ট শংসাপত্র, "বিশ্বস্ত" হিসাবে ঘোষণা করা হয়। এই মডেল থেকে ছাড়াই কোনও শংসাপত্রের মধ্যে কোনও পরিবর্তন করা যাবে না, এবং বিশেষত, মেয়াদ শেষ হওয়ার তারিখ, যা সার্টিফিকেটের মধ্যে থাকা তথ্যটির অংশ।

আপনি পুনর্নবীকরণ কল্পনা করতে পারেন পারিবারিক জিনিস হিসাবে: যখন একটি শংসাপত্র "নবায়ন করা" হয়, এটি আসলে একটি ছোট ভাইয়ের দ্বারা প্রতিস্থাপিত হয়। ক্লায়েন্টদের নীরবভাবে নতুন শংসাপত্র গ্রহণ কারণ এটি পূর্ববর্তী শংসাপত্র হিসাবে একই পূর্বপুরুষ ভাগ করে। আত্ম স্বাক্ষরিত সার্টিফিকেট অন্তর্নিহিত অনাথ হয়: তাদের কোন পূর্বপুরুষ আছে। অতএব, কোন ভাইবোন, এবং কোন স্বয়ংক্রিয় ট্রান্সমিশন।

(এই পূর্বপুরুষ জিনিস ছাড়া, পুনর্নবীকরণ হয় একটি নতুন সার্টিফিকেট তৈরি। সার্টিফিকেট হয় অপরিবর্তনীয় । "পুনর্নবীকরণ" পুরানো এবং নতুন শংসাপত্রের মধ্যে সম্পর্ক সম্পর্কে চিন্তা করার একটি উপায়।)

আপনি যদি নীরব পুনর্নবীকরণ করতে সক্ষম হতে চান, তাহলে আপনি একটি প্রয়োজন স্ব-স্বাক্ষরিত সিএ শংসাপত্র । আপনি যে CA থেকে আপনার সার্ভার (গুলি) এর জন্য সার্টিফিকেট নির্বাহ করেন এবং আপনি আপনার ক্লায়েন্টকে সেই CA তে বিশ্বাস করতে বলেন। অবশ্যই এটি অনেক কিছু জিজ্ঞাসা করা হচ্ছে: আপনি যে CA কে বিশ্বাস করেন সেটি এমন একটি CA যা আপনার চোখে সমগ্র ইন্টারনেটকে জাল করে। মূলত, এই সমাধানটি আপনার নিজস্ব CA তৈরি এবং বজায় রাখার বিষয়ে, যা একটি দায়িত্ব এবং কিছু কাজ।


পরবর্তী সময় আপনি একটি স্বাক্ষরিত শংসাপত্র তৈরি করেন, এটি দীর্ঘস্থায়ী করুন। সার্টিফিকেট বাতিল করার কাজটি বেশিরভাগ সময়সীমার জন্য শেষ হয়ে যায় (সার্টিফিকেট মেয়াদকাল CRL অনির্দিষ্টকালের জন্য ক্রমবর্ধমান থেকে বাধা দেয়)। স্ব স্ব স্বাক্ষরিত শংসাপত্রের জন্য, কোনও প্রত্যাহার নেই, তাই আপনি 20 বছরের জন্য শংসাপত্রটি বৈধ করতে পারেন। অথবা 2000 বছর ধরে, যে বিষয়টি জন্য (যদিও বছর 2038 সমস্যা ক্লায়েন্ট সফ্টওয়্যার উপর নির্ভর করে কিছু সময়ে দেখাতে পারে)।


ব্যাপক উত্তর দেওয়ার জন্য ধন্যবাদ! আমি ভাবছি যদিও এর অর্থ কি? অভিভাবকসংবঁধীয় আমি সংযুক্ত। স্ব স্বাক্ষরিত জন্য যে সিএ শুধুমাত্র সার্টিফিকেট? আমি অনুমান করেছি যে আমি আশা করছি (এবং টিউটোরিয়াল পড়ার পরে চিন্তা করা হবে) পুরাতন থেকে ব্যক্তিগত কীতে পড়ার এবং একটি নতুন, "সামঞ্জস্যপূর্ণ" একটি তৈরি করার উপায় ছিল ... যেটি একটির পরিবর্তে "শিশু" "অনাথ"। চমৎকার উপমা, উপায় দ্বারা!
FriendFX

@ ফ্রেন্ডফএক্স - আপনি যা চান তা সম্ভব নয়। টম সঠিক পুনর্নবীকরণ একটি নতুন শংসাপত্র তৈরি করে।
Ramhound

@ রামহাউন্ড - আমি বুঝি। একমাত্র খোলা প্রশ্ন হলো, তখন সেই টিউটোরিয়ালটির উদ্দেশ্য কী?
FriendFX

@ ফ্রেন্ডফএক্স - এটি ইন্টারনেটে কিছু র্যান্ডম লোকের দ্বারা লেখা হয়েছিল কারণ তাদের কাছে একটি ব্লগ রয়েছে, এর অর্থ বোঝা যাচ্ছে না যে তারা কী লিখেছে। লেখক সহজভাবে ব্যাখ্যা করে না যে টিউটোরিয়ালটি একটি নতুন শংসাপত্রের ফলস্বরূপ হবে
Ramhound

3
@ ফ্রিডফএক্স হ্যাঁ, সেই টিউটোরিয়াল শুধুমাত্র স্ব স্বাক্ষরিত CA সার্টিফিকেটের জন্য কাজ করবে। আপনি যদি একই কী জুড়ি এবং বিষয় ব্যবহার করেন, তবে আপনি একাধিক CA সার্টিফিকেট তৈরি করতে পারেন যা প্রতিটি জারি করা শংসাপত্রের জন্য কার্যকর প্রদানকারীর মতো সন্তুষ্ট করবে; এই সার্টিফিকেটগুলি এমনকি বিভিন্ন অভিভাবক CAs দ্বারা জারি করা যেতে পারে, যা "ক্রস-ক্রেনিং" বলা হয়।
Calrion

1

সংক্ষিপ্ত উত্তরঃ না।

স্ব স্বাক্ষরিত শংসাপত্রের উপর নির্ভর করে সেটি পাসপোর্ট প্রদানকারী দেশটির পরিবর্তে একটি পৃথক পাসপোর্টে বিশ্বাস করার মতো। যদি আপনি একটি নতুন পাসপোর্ট পান, তবে এটি পুরোনো একটিকে বিশ্বাস করে এমন কোনও ব্যক্তির দ্বারা স্বয়ংক্রিয়ভাবে বিশ্বস্ত হবে না, বিশেষত কারণ এটি বিভিন্ন বৈশিষ্ট্যের সাথে একটি ভিন্ন জিনিস (পাসপোর্ট নম্বর, তারিখ ইত্যাদি); পুরোনো পাসপোর্টে স্পষ্টভাবে বিশ্বাস করে এমন কারো জন্য কোনও ভিত্তি নেই যে নতুন একটিকে বিশ্বাস করা যেতে পারে।


0

স্ব-স্বাক্ষরিত শংসাপত্রগুলি ব্যবহার করে (আমি উইন্ডোজ এক্সচেঞ্জ ব্যবহার করে সুপারিশ করছি) আপনি কেবল মেয়াদ শেষ হওয়ার তারিখ 7999-12-31 (এটি ইউটিসি এর সর্বোচ্চ সময়) এবং 1970-01-01 এর প্রাথমিক তারিখ নির্ধারণ করতে পারেন। পিসিতে ভুল কনফিগার করা সময় / তারিখের সাথে সামঞ্জস্য)

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.