Saya telah menyiapkan server proxy dengan SSL menggunakan sertifikat PEM. Sekarang, ada beberapa mesin saya yang ingin saya percayai sertifikat ini secara otomatis (tanpa mengeluh browser web). Bagaimana saya bisa menginstal sertifikat PEM di setiap mesin?
Juga, apa yang lebih direkomendasikan: membuat sertifikat yang ditandatangani sendiri atau menyatukan sertifikat snakeoil?
Jawaban:
Browser memiliki daftar sertifikat "otoritas sertifikasi" (CA) tepercaya. Jika sertifikat server ditandatangani oleh salah satu sertifikat CA tersebut dan dibentuk dengan benar, Anda tidak akan mendapatkan peringatan SSL.
Banyak browser mengirim dengan banyak sertifikat CA umum seperti Verisign, Thawte, dll. Sebagian besar browser memungkinkan Anda untuk mengimpor CA baru ke dalam daftar CA tepercaya ini.
Seperti membuat sendiri sertifikat server yang Anda tandatangani sendiri, Anda dapat membuat sertifikat CA yang ditandatangani sendiri. Anda kemudian dapat menggunakannya untuk menandatangani sertifikat server Anda. Jika CA Anda tidak disediakan oleh perusahaan terkenal, dan itu tidak akan terjadi jika CA yang Anda buat, harus diimpor secara eksplisit di sisi server.
Saya sudah terbiasa xcamelakukan ini sebelumnya. Ini memiliki template untuk CA dan server HTTP. Prosedurnya adalah ini:
Anda kemudian perlu mengekspor (sebagai file jika menggunakan xca) sertifikat CA (tetapi tentu saja tidak menyertakan kunci pribadi). A .pemakan dihasilkan tetapi Anda dapat mengubah ekstensi menjadi .crt. Ketika pengguna mengklik itu, itu akan ditawarkan untuk diinstal pada Firefox dan Internet Explorer, dan mungkin browser utama lainnya. Sejauh instalasi otomatis .crt ini, Anda dapat:
Anda kemudian dapat menggunakan fungsi ekspor pada sertifikat server HTTP (ekspor kunci pribadi dan sertifikat untuk sisi server) untuk memakai server proxy Anda.
Salin sertifikat Anda ke /etc/ssl/certssistem target. Kemudian buat symlink menggunakan hash yang dihasilkan oleh perintah yang openssl x509 -noout -hash -in ca-certificate-filemengganti ca-certificate-filedengan nama sertifikat Anda. Sertifikat Anda kemudian harus diterima oleh semua program tanpa toko sertifikat mereka sendiri.
Untuk program dengan toko sertifikatnya sendiri (browser, Java, dan lainnya), Anda perlu mengimpor sertifikat.
Menghasilkan sertifikat yang ditandatangani sendiri atau ditandatangani sendiri adalah yang terbaik.
Anda mungkin ingin menginstal tinyca2dan membuat otoritas sertifikat Anda sendiri. Anda dapat mengimpor sertifikat otoritas sertifikat seperti yang dijelaskan dalam langkah-langkah di atas. Buat dan sebarkan sertifikat yang ditandatangani untuk aplikasi Anda.
Bagikan sertifikat CA Anda kepada pengguna yang perlu mempercayai sertifikat Anda. Anda mungkin perlu memberikan informasi tentang cara mengimpor sertifikat kepada mereka. PERINGATAN: Jika mereka melakukan ini, Anda menjadi CA tepercaya lainnya untuk mereka, jadi amankan CA Anda sesuai dengan itu.
Banyak alat juga dapat dikonfigurasi untuk mempercayai sertifikat yang ditandatangani sendiri, atau sertifikat dengan CA yang tidak dipercaya. Ini biasanya merupakan tindakan satu kali. Ini bisa lebih aman daripada menerima sertifikat CA dari otoritas yang tidak aman, hanya sertifikat yang diterima yang dipercaya.
Di Debian dan Ubuntu Anda harus menyalin certificate.pemke /usr/local/share/ca-certificates/certificate.crtdan kemudian jalankan dpkg-reconfigure ca-certificates. /etc/ssl/certsdikelola oleh perintah itu.
/etc/ssl/certs/ssl-cert-snakeoil.pem(inilah yang dibuat oleh paket Debianssl-certuntuk Anda). Kami menyalinnya ke host A dan menyebutnya/etc/ssl/certs/host-B.pem(karena host ini mungkin sudah memilikissl-cert-snakeoil.pem). Lalu kita lariln -s /etc/ssl/certs/host-B.pem $(openssl x509 -noout -hash -in /etc/ssl/certs/host-B.pem).