Я генерировал сам подписанный сертификат с помощью openssl - это полностью сам подписано и не подписанное сам подписанный Приблизительно. Я импортировал его успешно в nss базу данных для использования браузерами. Я теперь хочу доверять ему глобально, так, чтобы инструменты как wget, завихрение и т.д.... не ворчало.
Согласно инструкциям в другом месте, я скопировал свой сертификат/etc/pki/ca-trust/source/anchors/и затем выполнил "update-ca-trust извлечение". К сожалению, это, кажется, только работает над сертификатами CA а не над единственными сертификатами. Как я могу достигнуть того, что я после? Я знаю, что могу генерировать сам, подписал CA, и подпишите мой сертификат с этим, но у меня есть причины того, что не было сделано это.
Я генерировал свой сертификат как это:
openssl genrsa -out server.key 4096
openssl req -new -key server.key -out server.crt
openssl x509 -sha256 -req -extensions v3_req -days 3650 -in server.csr -signkey server.key -out server.crt -extfile /etc/pki/tls/openssl.cnf
Любая справка значительно ценилась бы!
Вы хотите доверять одинарному самозаверяющему сертификату для идентификации сервера, на котором он используется, не доверяя ему как ЦС для подписи других сертификатов или запуска собственного корневого ЦС.
Для RedHat 6 вам необходимо поместить сертификат сервера в / etc / pki / tls / certs /
, в файл, name - это хэш-номер сертификата с добавленным .0
.
Начните с помещения сертификата во временный файл, скажем /tmp/selfie.crt
. Найдите хеш с помощью openssl x509 -noout -hash -in /tmp/selfie.crt
; предположим, что это 1234abcd
. Поместите сертификат в доверенное хранилище для RH6 с помощью cp /tmp/selfie.crt /etc/pki/tls/certs/1234abcd.0[1140410 impression.
Спасибо за руководство Ника Берча по этому вопросу для освежения моей памяти о деталях.
Хотя теперь вы можете получить публично подписанные сертификаты за 9 долларов на год, если не меньше, это становится больше проблем, чем того стоит.
Сертификат CA является сертификатом. Так что добавление сертификата в каталог должно работать. Я просто попытался добавить один из сертификатов, которым я доверял в firefox, в / etc / ca-Certific / trust-source / anchors /, удалил его из моего доверенного сертификата в ff. Я перезагрузил страницу, и мне показалось, что сертификату не доверяют. Я перезапустил firefox и теперь могу получить доступ к странице.
Мне пришлось обновить-ca-trust, чтобы он работал с wget.
Мой находится в формате .pem, файл BEGIN / END. Какой дистрибутив вы используете? Вы пытались перезапустить свои инструменты?
Центр сертификации должен выдать сертификат. Запрос на организацию в Интернете. Сертификат стоит денег, но есть организации, которые бесплатно выдают сертификаты. Обратите внимание, что если сертификат не является доверенным для доверенной организации, браузер отобразит предупреждение системы безопасности, например: сертификат не является доверенным, потому что сертификат издателя неизвестен
. Также обратите внимание, что имя сертификата должно быть идентично fqdn веб-сайта.