Ho impostato un server proxy con SSL utilizzando un certificato PEM. Ora, ci sono un paio di macchine di cui vorrei fidarmi automaticamente di questo certificato (senza che il browser web si lamentasse). Come posso installare un certificato PEM su ogni macchina?
Inoltre, cosa è più consigliato: generare un certificato autofirmato o concatenare il certificato snakeoil?
Risposte:
I browser dispongono di un elenco di certificati di "autorità di certificazione" (CA) attendibili. Se il certificato di un server è firmato da uno di quei certificati CA e correttamente formato, non verrà visualizzato l'avviso SSL.
Molti browser vengono forniti con molti certificati CA comuni come Verisign, Thawte, ecc. La maggior parte dei browser consente di importare una nuova CA in questo elenco di CA affidabili.
Come la creazione del proprio certificato server autofirmato, è possibile creare il proprio certificato CA autofirmato. È quindi possibile utilizzarlo per firmare il certificato del server. Se la tua CA non è fornita da una società ben nota, cosa che non sarebbe se fosse una di quelle che hai creato, dovrà essere importata esplicitamente sul lato server.
L'ho già xcafatto prima. Ha modelli per CA e server HTTP. La procedura è questa:
Sarà quindi necessario esportare (come file se si utilizza xca) il certificato CA (ma ovviamente non includere la chiave privata). Un .pemverrà generato ma è possibile modificare l'estensione a .crt. Quando un utente fa clic su di esso, verrà offerto di installarlo su Firefox e Internet Explorer, e possibilmente su altri browser principali. Per quanto riguarda l'installazione automatica di questo .crt, puoi:
È quindi possibile utilizzare le funzioni di esportazione sul certificato del server HTTP (esportare sia la chiave privata che il certificato per il lato server) da inserire sul server proxy.
Copia il tuo certificato /etc/ssl/certssul sistema di destinazione. Quindi creare un collegamento simbolico utilizzando l'hash generato dal comando che openssl x509 -noout -hash -in ca-certificate-filesostituisce ca-certificate-filecon il nome del certificato. Il certificato dovrebbe quindi essere accettato da tutti i programmi senza il proprio archivio certificati.
Per i programmi con il proprio archivio certificati (browser, Java e altri) dovrai importare il certificato.
È meglio generare il proprio certificato autofirmato o firmato.
È possibile che si desideri installare tinyca2e generare la propria autorità di certificazione. È possibile importare il certificato dell'autorità di certificazione come dettagliato nei passaggi precedenti. Genera e distribuisci certificati firmati per le tue applicazioni.
Distribuire il certificato CA a quegli utenti che devono fidarsi del proprio certificato. Potrebbe essere necessario fornire informazioni su come importare il certificato. ATTENZIONE: se lo fanno, diventi un'altra CA affidabile per loro, quindi proteggi la tua CA di conseguenza.
Molti strumenti possono anche essere configurati per fidarsi di certificati autofirmati o certificati con CA non attendibili. Di solito si tratta di un'azione una tantum. Ciò può essere più sicuro rispetto all'accettazione di un certificato CA da parte di un'autorità non sicura, solo il certificato accettato è attendibile.
Su Debian e Ubuntu dovete copiare il certificate.pemper /usr/local/share/ca-certificates/certificate.crte quindi eseguire dpkg-reconfigure ca-certificates. /etc/ssl/certsè gestito da quel comando.
/etc/ssl/certs/ssl-cert-snakeoil.pem(questo è ciò che il pacchetto Debianssl-certcrea per te). Lo copiamo nell'host A e lo chiamiamo/etc/ssl/certs/host-B.pem(poiché questo host potrebbe già avere unssl-cert-snakeoil.pem). Quindi corriamoln -s /etc/ssl/certs/host-B.pem $(openssl x509 -noout -hash -in /etc/ssl/certs/host-B.pem).