ব্রাউজারগুলির বিশ্বস্ত "শংসাপত্র কর্তৃপক্ষ" (সিএ) শংসাপত্রগুলির একটি তালিকা রয়েছে। যদি কোনও সার্ভারের শংসাপত্রটি সেই সিএ শংসাপত্রগুলির মধ্যে একটি দ্বারা স্বাক্ষরিত হয় এবং সঠিকভাবে গঠিত হয় তবে আপনি এসএসএল সতর্কতা পাবেন না।
অনেকগুলি ব্রাউজারগুলি প্রচলিত সিএ শংসাপত্র যেমন ভেরিজাইন, থাওয়েট ইত্যাদি প্রেরণ করে Most
নিজের স্ব-স্বাক্ষরিত সার্ভার শংসাপত্র তৈরি করার মতো, আপনি নিজের স্ব-স্বাক্ষরিত সিএ শংসাপত্র তৈরি করতে পারেন। তারপরে আপনি এটি আপনার সার্ভার শংসাপত্রে স্বাক্ষর করতে ব্যবহার করতে পারেন। যদি আপনার সিএ কোনও সুপরিচিত সংস্থা সরবরাহ না করে থাকে তবে এটি যদি আপনি তৈরি করেন না তবে এটি সার্ভার সাইডে স্পষ্টতই আমদানি করতে হবে।
আমি xca
আগে এটি করতাম । এটিতে সিএ এবং এইচটিটিপি সার্ভারগুলির জন্য টেমপ্লেট রয়েছে। পদ্ধতিটি হ'ল:
- আপনার সিএর জন্য একটি ব্যক্তিগত কী তৈরি করুন
- "CA" টেমপ্লেটটি ব্যবহার করে এই কীটি ব্যবহার করে একটি স্ব-স্বাক্ষরিত CA তৈরি করুন
- আপনার প্রক্সি সার্ভারের জন্য একটি ব্যক্তিগত কী তৈরি করুন
- আপনার সদ্য তৈরি সিএ উল্লেখ করে দ্বিতীয় কীটি ব্যবহার করে একটি "শংসাপত্র স্বাক্ষর করার অনুরোধ" (সিএসআর) তৈরি করুন।
- সিএসআর "স্বাক্ষর করুন" এবং আপনার কাছে প্রক্সি সার্ভার শংসাপত্র থাকবে যা আপনার নিজস্ব সিএ উল্লেখ করে।
তারপরে আপনাকে xca
সিএ সার্টিফিকেট রফতানি করতে হবে (যদি ব্যবহার করা হয় তবে ফাইল হিসাবে ) তবে অবশ্যই ব্যক্তিগত কীটি অন্তর্ভুক্ত করবেন না। একটি .pem
উত্পন্ন করা হবে তবে আপনি এতে এক্সটেনশনটি পরিবর্তন করতে পারেন .crt
। যখন কোনও ব্যবহারকারী এটিতে ক্লিক করেন, তখন এটি ফায়ারফক্স এবং ইন্টারনেট এক্সপ্লোরার এবং সম্ভবত অন্য প্রধান ব্রাউজারে ইনস্টল করার প্রস্তাব দেওয়া হবে। এই .crt এর স্বয়ংক্রিয় ইনস্টলেশন হিসাবে আপনি পারেন:
- আইই তে গ্রুপ পলিসি ব্যবহার করুন
- ব্যবহারকারীরা কোনও সতর্কতা এড়াতে চাইলে .crt ডাউনলোড / ইনস্টল করতে বলার জন্য একটি পরিচিতি পৃষ্ঠায় সরাসরি নির্দেশ করুন।
তারপরে আপনি আপনার প্রক্সি সার্ভারটি রাখতে HTTP সার্ভার শংসাপত্র (সার্ভারের পক্ষে ব্যক্তিগত কী এবং শংসাপত্র উভয়ই রফতানি করুন) এ রফতানি ফাংশন ব্যবহার করতে পারেন।
/etc/ssl/certs/ssl-cert-snakeoil.pem
(এটি আপনার জন্য দেবিয়ান প্যাকেজssl-cert
তৈরি করে)) আমরা এটিকে হোস্ট করার জন্য এটি অনুলিপি করছি এবং এটি কল করব/etc/ssl/certs/host-B.pem
(যেহেতু এই হোস্টটির ইতিমধ্যে একটি থাকতে পারেssl-cert-snakeoil.pem
)। তারপরে আমরা দৌড়ে যাইln -s /etc/ssl/certs/host-B.pem $(openssl x509 -noout -hash -in /etc/ssl/certs/host-B.pem)
।