Вопросы Теги

Генерация сертификатов SSL

Я думаю, что это прекрасно подходит.

Это не была бы хорошая идея поместить их IP LAN, потому что, если это когда-нибудь изменяется, разрешение DNS может быть повреждено. 127.0.0.1 никогда не будет изменяться и будет всегда указывать на правильный ресурс, таким образом, можно просто оставить это, как.

2
задан 8 March 2011 в 01:06
4 ответа
  • Можно купить подписанные сертификаты от коммерческих поставщиков там.
  • Можно использовать OpenCA
  • Можно создать собственный Центр сертификации
  • Можно использовать самоподписанные сертификаты как показано здесь: http://www.stunnel.org/?page=howto
0
ответ дан 3 December 2019 в 13:22

Я записал сценарий в прошлом году, чтобы сделать все это для меня - создание поддельного CA и подписание сертификата с этим Приблизительно. Удостоверьтесь, чтобы Вы добавили содержание ca.crt в заключительный файл PEM, если у Вас должна быть неповрежденная цепочка.

http://tacticalvim.wordpress.com/2010/06/20/sslkeygen-sh-complete-ssl-cert-creation-helper-script/

В зависимости от он - использование, Вы все еще получите проблемы CA с поддельным подписывающим лицом, но это может технически работать на Вашу цель.

0
ответ дан 3 December 2019 в 13:22

Я решил эту проблему некоторое время назад, но вот ответ.

Мне удалось сгенерировать свои собственные сертификаты, используя следующий веб-сайт: ConfiguringApache2ForSSLTLSMutualAuthentication

Я тестировал на openssl между двумя ПК плюс тестирование по радиоволнам между модемом Sierra Wireless и сервером openssl.

0
ответ дан 3 December 2019 в 13:22

Создать корневой ЦС (самоподписанный):

Давайте подробно рассмотрим параметры:

  • x509 указывает, что требуется сертификат, а не просто запрос сертификата (см. ниже).
  • дней 30000 устанавливает срок действия сертификата через 30000 дней. Вы можете продлить этот период. Запишите дату истечения срока годности, чтобы вы могли продлить его при необходимости!
  • sha1 указывает, что следует использовать шифрование SHA1. rsa: 2048 устанавливает ключ как 2048-битный RSA.
  • Узлы не задают кодовую фразу.
  • keyout и -out указывают, где хранить сертификат и ключ. Ключ должен быть доступен для чтения только root; сертификат может быть доступен для чтения всем и должен быть доступен для чтения пользователю, от имени которого работает Apache.
  • Флаг subj устанавливает название компании, название отдела и адрес веб-сайта. Если вы не укажете их, вам будет предложено их ввести. CN должен совпадать с адресом вашего веб-сайта, иначе сертификат не будет совпадать, и при подключении пользователи получат предупреждение. Убедитесь, что вы не используете пароль для проверки.

Создайте его: 

sudo openssl req -x509 -nodes -newkey rsa:2048 -sha1 -keyout rootkey.key -out rootca.crt -passin pass:root -days 30000 -subj "/C=DU/ST=Dubai/L=TownCenter/O=AmesCom/CN=AmesCom Int" -config openssl.cnf.my

Зашифруйте ключ вручную:

ключ не зашифрован из-за опции -nodes, поэтому мы зашифруем его вручную: 

sudo cp rootkey.key rootkey.key.org

sudo openssl rsa -in rootkey.key.org -out rootkey.key

Протестируйте:

для немедленного тестирования, вы можете выполнить два способы:

1
ответ дан 3 December 2019 в 13:22

Теги

Похожие вопросы