আমি পিইএম শংসাপত্র ব্যবহার করে এসএসএল সহ একটি প্রক্সি সার্ভার সেট আপ করেছি। এখন, আমার কয়েকটি মেশিন রয়েছে যে আমি এই শংসাপত্রটি স্বয়ংক্রিয়ভাবে বিশ্বাস করতে চাই (ওয়েব ব্রাউজারটি অভিযোগ না করে)। আমি কীভাবে প্রতিটি মেশিনে একটি পিইএম শংসাপত্র ইনস্টল করতে পারি?
এছাড়াও, আরও কি প্রস্তাবিত: একটি স্ব স্ব স্বাক্ষরযুক্ত শংসাপত্র তৈরি করা বা স্নোয়েল শংসাপত্রের সাথে সম্মতি জানানো?
উত্তর:
ব্রাউজারগুলির বিশ্বস্ত "শংসাপত্র কর্তৃপক্ষ" (সিএ) শংসাপত্রগুলির একটি তালিকা রয়েছে। যদি কোনও সার্ভারের শংসাপত্রটি সেই সিএ শংসাপত্রগুলির মধ্যে একটি দ্বারা স্বাক্ষরিত হয় এবং সঠিকভাবে গঠিত হয় তবে আপনি এসএসএল সতর্কতা পাবেন না।
অনেকগুলি ব্রাউজারগুলি প্রচলিত সিএ শংসাপত্র যেমন ভেরিজাইন, থাওয়েট ইত্যাদি প্রেরণ করে Most
নিজের স্ব-স্বাক্ষরিত সার্ভার শংসাপত্র তৈরি করার মতো, আপনি নিজের স্ব-স্বাক্ষরিত সিএ শংসাপত্র তৈরি করতে পারেন। তারপরে আপনি এটি আপনার সার্ভার শংসাপত্রে স্বাক্ষর করতে ব্যবহার করতে পারেন। যদি আপনার সিএ কোনও সুপরিচিত সংস্থা সরবরাহ না করে থাকে তবে এটি যদি আপনি তৈরি করেন না তবে এটি সার্ভার সাইডে স্পষ্টতই আমদানি করতে হবে।
আমি xcaআগে এটি করতাম । এটিতে সিএ এবং এইচটিটিপি সার্ভারগুলির জন্য টেমপ্লেট রয়েছে। পদ্ধতিটি হ'ল:
তারপরে আপনাকে xcaসিএ সার্টিফিকেট রফতানি করতে হবে (যদি ব্যবহার করা হয় তবে ফাইল হিসাবে ) তবে অবশ্যই ব্যক্তিগত কীটি অন্তর্ভুক্ত করবেন না। একটি .pemউত্পন্ন করা হবে তবে আপনি এতে এক্সটেনশনটি পরিবর্তন করতে পারেন .crt। যখন কোনও ব্যবহারকারী এটিতে ক্লিক করেন, তখন এটি ফায়ারফক্স এবং ইন্টারনেট এক্সপ্লোরার এবং সম্ভবত অন্য প্রধান ব্রাউজারে ইনস্টল করার প্রস্তাব দেওয়া হবে। এই .crt এর স্বয়ংক্রিয় ইনস্টলেশন হিসাবে আপনি পারেন:
তারপরে আপনি আপনার প্রক্সি সার্ভারটি রাখতে HTTP সার্ভার শংসাপত্র (সার্ভারের পক্ষে ব্যক্তিগত কী এবং শংসাপত্র উভয়ই রফতানি করুন) এ রফতানি ফাংশন ব্যবহার করতে পারেন।
আপনার /etc/ssl/certsসিস্টেমে লক্ষ্য সিস্টেমে অনুলিপি করুন । তারপরে আপনার শংসাপত্রের নামের openssl x509 -noout -hash -in ca-certificate-fileপরিবর্তে কমান্ড দ্বারা উত্পাদিত হ্যাশ ব্যবহার করে একটি সিমিলিংক তৈরি করুন ca-certificate-file। আপনার শংসাপত্রটি তাদের নিজস্ব শংসাপত্রের স্টোর ছাড়াই সমস্ত প্রোগ্রামের দ্বারা গ্রহণ করা উচিত।
তাদের নিজস্ব শংসাপত্রের স্টোর (ব্রাউজার, জাভা এবং অন্যান্য) সহ প্রোগ্রামগুলির জন্য আপনাকে শংসাপত্রটি আমদানি করতে হবে।
নিজের স্ব-স্বাক্ষরিত বা স্বাক্ষরিত শংসাপত্র তৈরি করা সেরা।
আপনি tinyca2নিজের শংসাপত্র কর্তৃপক্ষ ইনস্টল করতে এবং জেনারেট করতে চাইতে পারেন । উপরের পদক্ষেপগুলিতে বিস্তারিত হিসাবে আপনি শংসাপত্র কর্তৃপক্ষের শংসাপত্র আমদানি করতে পারেন। আপনার অ্যাপ্লিকেশনগুলির জন্য স্বাক্ষরিত শংসাপত্র তৈরি এবং স্থাপন করুন।
আপনার সিটি শংসাপত্র তাদের ব্যবহারকারীর কাছে বিতরণ করুন যাদের আপনার শংসাপত্রের উপর আস্থা রাখতে হবে। তাদের কীভাবে শংসাপত্রটি আমদানি করতে হবে সে সম্পর্কিত আপনাকে তথ্য সরবরাহের প্রয়োজন হতে পারে। সতর্কতা: যদি তারা এটি করে, আপনি তাদের জন্য আপনি আর একটি বিশ্বস্ত সিএ হয়ে যান, সুতরাং সেই অনুযায়ী আপনার সিএ সুরক্ষিত করুন।
অনেকগুলি সরঞ্জাম স্ব-স্বাক্ষরিত শংসাপত্র, বা অবিশ্বস্ত সিএ সহ শংসাপত্রগুলিকে বিশ্বাস করতেও কনফিগার করা যায়। এটি সাধারণত এককালীন ক্রিয়া। এটি আরও সুরক্ষিত হতে পারে যে কোনও অনিরাপদ কর্তৃপক্ষের কাছ থেকে সিএ শংসাপত্র গ্রহণ করা, কেবলমাত্র স্বীকৃত শংসাপত্রই বিশ্বাসযোগ্য।
ডেবিয়ান এবং উবুন্টুতে আপনাকে অনুলিপি করতে certificate.pemহবে /usr/local/share/ca-certificates/certificate.crtএবং তারপরে চালাতে হবে dpkg-reconfigure ca-certificates। /etc/ssl/certsএই আদেশ দ্বারা পরিচালিত হয়।
/etc/ssl/certs/ssl-cert-snakeoil.pem(এটি আপনার জন্য দেবিয়ান প্যাকেজssl-certতৈরি করে)) আমরা এটিকে হোস্ট করার জন্য এটি অনুলিপি করছি এবং এটি কল করব/etc/ssl/certs/host-B.pem(যেহেতু এই হোস্টটির ইতিমধ্যে একটি থাকতে পারেssl-cert-snakeoil.pem)। তারপরে আমরা দৌড়ে যাইln -s /etc/ssl/certs/host-B.pem $(openssl x509 -noout -hash -in /etc/ssl/certs/host-B.pem)।