জিনু / লিনাক্স কীভাবে এমন একটি শংসাপত্রকে বিশ্বাসী করে তুলবে যা উইন্ডোজ-এর বাইরে বাক্সের দ্বারা বিশ্বাসযোগ্য?

এই এসএসএল চেক দ্বারা রিপোর্ট করা হিসাবে একটি ভাঙা এসএসএল চেইনযুক্ত একটি সার্ভার রয়েছে :

আমি জানি এটি একটি সমস্যা যা নিজে থেকেই সার্ভারে সমাধান করা উচিত তবে কখনও কখনও এটি সমাধান করা শক্ত হয় (আমি সার্ভারের প্রশাসক নই)।

কথাটি হ'ল, উইন্ডোজের ক্রোম / মজিলা / এজ যাইহোক সাইটের শংসাপত্রকে বিশ্বাস করে :

তবে, একটি Gnu / লিনাক্স স্থাপনায় (উবুন্টু 18.04 ডকারে) শংসাপত্রটি বিশ্বাসযোগ্য নয় :

curl: (60) SSL certificate problem: unable to get local issuer certificate

আমি চেষ্টা করেছি update-ca-certificatesএমনকি গ্লোবালসাইন রুট শংসাপত্রটি আমদানি করেছি। update-ca-certificatesএই ক্ষেত্রে একটি সদৃশ শংসাপত্র রিপোর্ট। যাইহোক, কিছুই কাজ করে না।

কিভাবে পুনরুত্পাদন

ডকার ব্যবহার:

docker run -it ubuntu:18.04

# within container:
apt-get update
apt-get -y install curl
curl https://betriebsheft.vog.it  # <---- "unable to get local issuer certificate"

আমি কীভাবে Gnu / Linux- কে এই শংসাপত্রের উপর আস্থা রাখতে পারি?

PS: একই শংসাপত্রটি অন্য সার্ভারে সঠিকভাবে স্থাপন করা হয়েছে ।

এর প্রকৃত স্থিরতা হ'ল আপনার সার্ভারটি শৃঙ্খলে সমস্ত শংসাপত্র উপস্থাপিত করে কেবল শেষ সত্তা (সার্ভার) শংসাপত্র নয়।

আপনার সার্ভার প্রশাসককে আরএফসি 5246 ধারা 7.4.2-এ নির্দেশ করুন যা পরিষ্কারভাবে জানিয়েছে যে এই বার্তাটি ক্লায়েন্টকে সার্ভারের শংসাপত্র শৃঙ্খলা পৌঁছে দেয়।

যদি আপনার প্রশাসক কোনও কারণে এটি অস্বীকার করে / না করতে পারেন তবে আপনার বিকল্প বিকল্পটি হ'ল curlদূষিত হ্যান্ডশেক দিয়ে চেষ্টা করা এবং কাজ করা।

কার্ল মেলিং তালিকার একটি বার্তা অনুসারে:

সিআরএল যদি মধ্যবর্তী শংসাপত্র সমর্থন করে (বা না) তবে কেউ কি নিশ্চিত করতে পারবেন?

হ্যাঁ এটা করে. সমস্ত সিএ শংসাপত্রের একটি শংসাপত্র শৃঙ্খলা রুট পর্যন্ত যাচ্ছে। আপনি কার্ল সাথে সিএ বান্ডেলটি ব্যবহার করেন পুরো চেইনের জন্য শংসাপত্রগুলি থাকা দরকার to

/ daniel.haxx.se

আপনার রুট সিএ এবং সমস্ত মধ্যস্থতা শংসাপত্রগুলি একটি বান্ডলে যুক্ত করতে সক্ষম হবেন এবং বিকল্পটি curlব্যবহার করে এটিতে নির্দেশ করুন --cacert <file>।

আপনার ব্রাউজারগুলি কাজ করার সাথে সাথে আপনি সেখান থেকে সঠিক সিএ শংসাপত্রগুলি অ্যাক্সেস করতে পারেন। শংসাপত্র ট্যাবে (প্রতিটি ব্রাউজারের জন্য পৃথক, তবে আমি নিশ্চিত যে আপনি এটিটি খুঁজে বের করবেন), শংসাপত্র শৃঙ্খলাটি দেখুন। দুবার-ক্লিক করুন রুট সিএ প্রথম Globalsign রুট সিএ - G1 এবং এর বিবরণ ট্যাব এ ক্লিক করুন ফাইল অনুলিপি করুন ... । এটি হিসাবে সংরক্ষণ করুন root.cer। আলফাএসএল সিএ - SHA256 - জি 2 দিয়ে একই করুন এবং এটি হিসাবে সংরক্ষণ করুন issuing.cer। দু'জনকে একটি একক ফাইলে (যেমন chain.cer) যুক্ত করুন এবং যুক্তি হিসাবে এটি ব্যবহার করুন -cacert।

@AB দ্বারা বিনীতভাবে নির্দেশিত হিসাবে অনুপস্থিত শংসাপত্রও এখানে পাওয়া যাবে ।

আপনার ব্রাউজারগুলি কাজ করে কারণ তারা CA শংসাপত্রগুলি ক্যাশে করে। আপনি যদি অতীতে কোনও সময়ে সঠিকভাবে কনফিগার করা ওয়েবসাইটে নেভিগেট করে থাকেন, যার শংসাপত্রটি আপনার সার্ভারের শংসাপত্রের মতো একই সিএ দ্বারা জারি করা হয়েছিল, এটি ব্রাউজার দ্বারা ক্যাশে হবে। পরে আপনি যখন আপনার ভুলভাবে কনফিগার করা সাইটটি পরিদর্শন করেন, তখন আপনার ব্রাউজারটি শৃঙ্খলা তৈরির জন্য তার ক্যাশে সিএ শংসাপত্রগুলি ব্যবহার করবে। আপনার কাছে মনে হচ্ছে সবকিছু ঠিক আছে, যদিও পর্দার পিছনে সার্ভারটি ভুলভাবে কনফিগার করা হয়েছে।

নোট করুন যে উইন্ডোজ, আইই / এজ এবং ক্রোমে একই ক্যাশে ভাগ করে নেওয়ার সময় ফায়ারফক্স তার নিজস্ব ব্যবহার করে।

উপরোক্তগুলি ছাড়াও, আইই / এজ এবং ক্রোম (যেমন তারা একই ক্রিপ্টো স্ট্যাকটি ভাগ করে নেয়) অথরিটিআইফরমেশনঅ্যাক্সেস নামে পরিচিতিগুলির শংসাপত্রের মধ্যে একটি এক্সটেনশন ব্যবহার করবে । এই হয়েছে caIssuer বিকল্প যা URL টি থেকে শেষ-সত্তা শংসাপত্র এর CA শংসাপত্র ডাউনলোড করা যাবে প্রদান করে। অতএব, এমনকি যদি এই ব্রাউজারগুলির মধ্যে একটিও পূর্ববর্তী ব্রাউজিং থেকে অনুপস্থিত শংসাপত্রগুলি ক্যাশে না করে, প্রয়োজনে এটি এটি আনতে পারে। নোট করুন যে ফায়ারফক্স এটি করে না, তাই যখনই আইআই / এজ এবং ক্রোম কাজ করে বলে ফায়ারফক্স শংসাপত্রের ত্রুটিগুলি প্রদর্শন করতে পারে।