স্ব স্বাক্ষরিত পিইএম শংসাপত্রের উপর বিশ্বাস করুন


23
  1. আমি পিইএম শংসাপত্র ব্যবহার করে এসএসএল সহ একটি প্রক্সি সার্ভার সেট আপ করেছি। এখন, আমার কয়েকটি মেশিন রয়েছে যে আমি এই শংসাপত্রটি স্বয়ংক্রিয়ভাবে বিশ্বাস করতে চাই (ওয়েব ব্রাউজারটি অভিযোগ না করে)। আমি কীভাবে প্রতিটি মেশিনে একটি পিইএম শংসাপত্র ইনস্টল করতে পারি?

  2. এছাড়াও, আরও কি প্রস্তাবিত: একটি স্ব স্ব স্বাক্ষরযুক্ত শংসাপত্র তৈরি করা বা স্নোয়েল শংসাপত্রের সাথে সম্মতি জানানো?

উত্তর:


10

ব্রাউজারগুলির বিশ্বস্ত "শংসাপত্র কর্তৃপক্ষ" (সিএ) শংসাপত্রগুলির একটি তালিকা রয়েছে। যদি কোনও সার্ভারের শংসাপত্রটি সেই সিএ শংসাপত্রগুলির মধ্যে একটি দ্বারা স্বাক্ষরিত হয় এবং সঠিকভাবে গঠিত হয় তবে আপনি এসএসএল সতর্কতা পাবেন না।

অনেকগুলি ব্রাউজারগুলি প্রচলিত সিএ শংসাপত্র যেমন ভেরিজাইন, থাওয়েট ইত্যাদি প্রেরণ করে Most

নিজের স্ব-স্বাক্ষরিত সার্ভার শংসাপত্র তৈরি করার মতো, আপনি নিজের স্ব-স্বাক্ষরিত সিএ শংসাপত্র তৈরি করতে পারেন। তারপরে আপনি এটি আপনার সার্ভার শংসাপত্রে স্বাক্ষর করতে ব্যবহার করতে পারেন। যদি আপনার সিএ কোনও সুপরিচিত সংস্থা সরবরাহ না করে থাকে তবে এটি যদি আপনি তৈরি করেন না তবে এটি সার্ভার সাইডে স্পষ্টতই আমদানি করতে হবে।

আমি xcaআগে এটি করতাম । এটিতে সিএ এবং এইচটিটিপি সার্ভারগুলির জন্য টেমপ্লেট রয়েছে। পদ্ধতিটি হ'ল:

  • আপনার সিএর জন্য একটি ব্যক্তিগত কী তৈরি করুন
  • "CA" টেমপ্লেটটি ব্যবহার করে এই কীটি ব্যবহার করে একটি স্ব-স্বাক্ষরিত CA তৈরি করুন
  • আপনার প্রক্সি সার্ভারের জন্য একটি ব্যক্তিগত কী তৈরি করুন
  • আপনার সদ্য তৈরি সিএ উল্লেখ করে দ্বিতীয় কীটি ব্যবহার করে একটি "শংসাপত্র স্বাক্ষর করার অনুরোধ" (সিএসআর) তৈরি করুন।
  • সিএসআর "স্বাক্ষর করুন" এবং আপনার কাছে প্রক্সি সার্ভার শংসাপত্র থাকবে যা আপনার নিজস্ব সিএ উল্লেখ করে।

তারপরে আপনাকে xcaসিএ সার্টিফিকেট রফতানি করতে হবে (যদি ব্যবহার করা হয় তবে ফাইল হিসাবে ) তবে অবশ্যই ব্যক্তিগত কীটি অন্তর্ভুক্ত করবেন না। একটি .pemউত্পন্ন করা হবে তবে আপনি এতে এক্সটেনশনটি পরিবর্তন করতে পারেন .crt। যখন কোনও ব্যবহারকারী এটিতে ক্লিক করেন, তখন এটি ফায়ারফক্স এবং ইন্টারনেট এক্সপ্লোরার এবং সম্ভবত অন্য প্রধান ব্রাউজারে ইনস্টল করার প্রস্তাব দেওয়া হবে। এই .crt এর স্বয়ংক্রিয় ইনস্টলেশন হিসাবে আপনি পারেন:

  • আইই তে গ্রুপ পলিসি ব্যবহার করুন
  • ব্যবহারকারীরা কোনও সতর্কতা এড়াতে চাইলে .crt ডাউনলোড / ইনস্টল করতে বলার জন্য একটি পরিচিতি পৃষ্ঠায় সরাসরি নির্দেশ করুন।

তারপরে আপনি আপনার প্রক্সি সার্ভারটি রাখতে HTTP সার্ভার শংসাপত্র (সার্ভারের পক্ষে ব্যক্তিগত কী এবং শংসাপত্র উভয়ই রফতানি করুন) এ রফতানি ফাংশন ব্যবহার করতে পারেন।


17
  1. আপনার /etc/ssl/certsসিস্টেমে লক্ষ্য সিস্টেমে অনুলিপি করুন । তারপরে আপনার শংসাপত্রের নামের openssl x509 -noout -hash -in ca-certificate-fileপরিবর্তে কমান্ড দ্বারা উত্পাদিত হ্যাশ ব্যবহার করে একটি সিমিলিংক তৈরি করুন ca-certificate-file। আপনার শংসাপত্রটি তাদের নিজস্ব শংসাপত্রের স্টোর ছাড়াই সমস্ত প্রোগ্রামের দ্বারা গ্রহণ করা উচিত।

    তাদের নিজস্ব শংসাপত্রের স্টোর (ব্রাউজার, জাভা এবং অন্যান্য) সহ প্রোগ্রামগুলির জন্য আপনাকে শংসাপত্রটি আমদানি করতে হবে।

  2. নিজের স্ব-স্বাক্ষরিত বা স্বাক্ষরিত শংসাপত্র তৈরি করা সেরা।

    আপনি tinyca2নিজের শংসাপত্র কর্তৃপক্ষ ইনস্টল করতে এবং জেনারেট করতে চাইতে পারেন । উপরের পদক্ষেপগুলিতে বিস্তারিত হিসাবে আপনি শংসাপত্র কর্তৃপক্ষের শংসাপত্র আমদানি করতে পারেন। আপনার অ্যাপ্লিকেশনগুলির জন্য স্বাক্ষরিত শংসাপত্র তৈরি এবং স্থাপন করুন।

    আপনার সিটি শংসাপত্র তাদের ব্যবহারকারীর কাছে বিতরণ করুন যাদের আপনার শংসাপত্রের উপর আস্থা রাখতে হবে। তাদের কীভাবে শংসাপত্রটি আমদানি করতে হবে সে সম্পর্কিত আপনাকে তথ্য সরবরাহের প্রয়োজন হতে পারে। সতর্কতা: যদি তারা এটি করে, আপনি তাদের জন্য আপনি আর একটি বিশ্বস্ত সিএ হয়ে যান, সুতরাং সেই অনুযায়ী আপনার সিএ সুরক্ষিত করুন।

    অনেকগুলি সরঞ্জাম স্ব-স্বাক্ষরিত শংসাপত্র, বা অবিশ্বস্ত সিএ সহ শংসাপত্রগুলিকে বিশ্বাস করতেও কনফিগার করা যায়। এটি সাধারণত এককালীন ক্রিয়া। এটি আরও সুরক্ষিত হতে পারে যে কোনও অনিরাপদ কর্তৃপক্ষের কাছ থেকে সিএ শংসাপত্র গ্রহণ করা, কেবলমাত্র স্বীকৃত শংসাপত্রই বিশ্বাসযোগ্য।


এটিকে কি আরও নির্দিষ্ট করে বলা যায়? উদাহরণস্বরূপ: হোস্ট এ হোস্ট বি কে মেইল ​​প্রেরণ করে এবং বি এর পরিচয় যাচাই করতে সক্ষম না হওয়ায় অভিযোগ করে হোস্ট বি তে আমরা স্ব-স্বাক্ষরিত শংসাপত্র তৈরি করেছি: /etc/ssl/certs/ssl-cert-snakeoil.pem(এটি আপনার জন্য দেবিয়ান প্যাকেজ ssl-certতৈরি করে)) আমরা এটিকে হোস্ট করার জন্য এটি অনুলিপি করছি এবং এটি কল করব /etc/ssl/certs/host-B.pem(যেহেতু এই হোস্টটির ইতিমধ্যে একটি থাকতে পারে ssl-cert-snakeoil.pem)। তারপরে আমরা দৌড়ে যাই ln -s /etc/ssl/certs/host-B.pem $(openssl x509 -noout -hash -in /etc/ssl/certs/host-B.pem)
অ্যালেক্স শ্রাইডার

1
@ AlexSchr Alexder আমি উপরে সম্পাদনা করেছি। তাদের আপনার স্নোনফিল শংসাপত্রটি আমদানি করা উচিত নয়, তবে আপনি যদি নিজের সিএ সেটআপ করেন তবে তাদের পক্ষে আপনার সিএ আমদানি করা যুক্তিসঙ্গত is আমি এখনও এসএমটিপি সার্ভারগুলির মধ্যে বিশ্বাসের সমস্যাগুলি চিহ্নিত করতে পারি নি। বেশিরভাগ ক্লায়েন্টকে পৃথক শংসাপত্র বিশ্বাস করতে বলা যেতে পারে।
বিলথোর

ধন্যবাদ। আমি যখন লগ এন্ট্রি পাচ্ছি তার জন্য ব্যাখ্যা খুঁজছিলাম তখন আমি এই প্রশ্নটি পেয়েছি। আমি যে ব্যাখ্যাটি পেয়েছি তা হ'ল A কোথায় বি কে মেইল ​​প্রেরণ করবে, A জানিয়ে দেবে যে বি এর পরিচয় যাচাই করা সম্ভব ছিল না
অ্যালেক্স শ্র্রেডার

আমি ঠিক এটিই খুঁজছিলাম! -- ধন্যবাদ! এখন আমি যতটা বিরক্তি ছাড়াই আমার সুরক্ষিত ওয়েবডিএভি মাউন্ট করতে ডেভগুলি ব্যবহার করতে পারি।
Wyatt8740

13

ডেবিয়ান এবং উবুন্টুতে আপনাকে অনুলিপি করতে certificate.pemহবে /usr/local/share/ca-certificates/certificate.crtএবং তারপরে চালাতে হবে dpkg-reconfigure ca-certificates/etc/ssl/certsএই আদেশ দ্বারা পরিচালিত হয়।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.