Как я доверяю сам подписанный сертификат?

Question

Как я доверяю сам подписанный сертификат?

Я генерировал сам подписанный сертификат с помощью openssl - это полностью сам подписано и не подписанное сам подписанный Приблизительно. Я импортировал его успешно в nss базу данных для использования браузерами. Я теперь хочу доверять ему глобально, так, чтобы инструменты как wget, завихрение и т.д.... не ворчало.

Согласно инструкциям в другом месте, я скопировал свой сертификат/etc/pki/ca-trust/source/anchors/и затем выполнил "update-ca-trust извлечение". К сожалению, это, кажется, только работает над сертификатами CA а не над единственными сертификатами. Как я могу достигнуть того, что я после? Я знаю, что могу генерировать сам, подписал CA, и подпишите мой сертификат с этим, но у меня есть причины того, что не было сделано это.

Я генерировал свой сертификат как это:

openssl genrsa -out server.key 4096
openssl req -new -key server.key -out server.crt
openssl x509 -sha256 -req -extensions v3_req -days 3650 -in server.csr -signkey server.key -out server.crt -extfile /etc/pki/tls/openssl.cnf

Любая справка значительно ценилась бы!

2

redhat openssl self-signed-certificate

задан dcrdev 19 October 2015 в 20:03

Ссылка

3 ответа


         
         
            
               
                  

                    

                  
              
           

   
         
            
               
                  
                      Сертификат CA является сертификатом.  Так что добавление сертификата в каталог должно работать.
Я просто попытался добавить один из сертификатов, которым я доверял в firefox, в / etc / ca-Certific / trust-source / anchors /, удалил его из моего доверенного сертификата в ff.
Я перезагрузил страницу, и мне показалось, что сертификату не доверяют.
Я перезапустил firefox и теперь могу получить доступ к странице. 

 Мне пришлось обновить-ca-trust, чтобы он работал с wget. 

 Мой находится в формате .pem, файл BEGIN / END.
Какой дистрибутив вы используете?  Вы пытались перезапустить свои инструменты? 
                  
                  1

                  
                  
                     ответ дан 
                     3 December 2019 в 11:35 
                  
                  Ссылка
               
                              
                  
                     
      
                                         
                  
               
            
         
         
            
         
            
               
                  
                      Центр сертификации должен выдать сертификат.  Запрос на организацию в Интернете.  Сертификат стоит денег, но есть организации, которые бесплатно выдают сертификаты.  Обратите внимание, что если сертификат не является доверенным для доверенной организации, браузер отобразит предупреждение системы безопасности, например:  сертификат не является доверенным, потому что сертификат издателя неизвестен .  Также обратите внимание, что имя сертификата должно быть идентично fqdn веб-сайта. 
                  
                  -3

                  
                  
                     ответ дан 
                     3 December 2019 в 11:35 
                  
                  Ссылка
               
                              
                  
                     
      
                                         
                  
               
            
         
         
              



      
        Теги
        
         redhat openssl self-signed-certificate       

        Похожие вопросы
        
          
                          204 
 Heartbleed: Что это и что опции состоят в том, чтобы смягчить его? - 17 March 2017 12:13 
                            201 
 Когда 'cron.daily' работает? - 29 October 2012 23:24 
                            187 
 как загрузить сертификат SSL с веб-сайта? - 11 February 2014 07:46 
                            151 
 Какую версию RHEL я использую? - 19 April 2015 22:21 
                            117 
 Как обработать обновления системы защиты в контейнерах Докера? - 6 December 2016 15:29 
                            115 
 Как я смотрю детали цифрового сертификата .cer файл? - 19 January 2017 20:50 
                            104 
 Как просмотреть все сертификаты SSL в пакете? - 25 April 2014 08:59 
                            97 
 Корневое истечение сертификата центра сертификации и обновление - 22 February 2015 09:15 
                            96 
 Как перезапустить nginx? - 16 December 2010 09:49 
                            88 
 Heartbleed: как к надежно и портативно проверяют версию OpenSSL? - 13 April 2017 15:14 
                            85 
 Действительно ли возможно генерировать ключ RSA без пароля? - 5 March 2012 08:28 
                            77 
  ssh-keygen не создает закрытый ключ RSA  - 28 November 2018 11:38 
                            65 
 Heartbleed: сервисы кроме HTTPS затронуты? - 9 April 2014 11:06 
                            62 
 Лучшее расположение для сертификата SSL и закрытых ключей на Ubuntu - 13 April 2017 15:14 
                            61 
  Использование chkconfig для автоматического запуска на RHEL7? [дубликат]  - 7 May 2015 03:09

score 4 · Answer 1 · 3 December 2019 в 11:35

Вы хотите доверять одинарному самозаверяющему сертификату для идентификации сервера, на котором он используется, не доверяя ему как ЦС для подписи других сертификатов или запуска собственного корневого ЦС.

Для RedHat 6 вам необходимо поместить сертификат сервера в / etc / pki / tls / certs / , в файл, name - это хэш-номер сертификата с добавленным .0 .

Начните с помещения сертификата во временный файл, скажем /tmp/selfie.crt . Найдите хеш с помощью openssl x509 -noout -hash -in /tmp/selfie.crt; предположим, что это 1234abcd . Поместите сертификат в доверенное хранилище для RH6 с помощью cp /tmp/selfie.crt /etc/pki/tls/certs/1234abcd.0[1140410 impression.



 Спасибо  за руководство Ника Берча по этому вопросу   для освежения моей памяти о деталях. 

 Хотя теперь вы можете получить публично подписанные сертификаты за 9 долларов на год, если не меньше, это становится больше проблем, чем того стоит.

score 1 · Answer 2 · 3 December 2019 в 11:35

Сертификат CA является сертификатом. Так что добавление сертификата в каталог должно работать. Я просто попытался добавить один из сертификатов, которым я доверял в firefox, в / etc / ca-Certific / trust-source / anchors /, удалил его из моего доверенного сертификата в ff. Я перезагрузил страницу, и мне показалось, что сертификату не доверяют. Я перезапустил firefox и теперь могу получить доступ к странице.

Мне пришлось обновить-ca-trust, чтобы он работал с wget.

Мой находится в формате .pem, файл BEGIN / END. Какой дистрибутив вы используете? Вы пытались перезапустить свои инструменты?

score -3 · Answer 3 · 3 December 2019 в 11:35

Центр сертификации должен выдать сертификат. Запрос на организацию в Интернете. Сертификат стоит денег, но есть организации, которые бесплатно выдают сертификаты. Обратите внимание, что если сертификат не является доверенным для доверенной организации, браузер отобразит предупреждение системы безопасности, например: сертификат не является доверенным, потому что сертификат издателя неизвестен . Также обратите внимание, что имя сертификата должно быть идентично fqdn веб-сайта.