Я создал самоподписанный сертификат с помощью openssl - он полностью самоподписанный и не подписанный самозаверяющим центром сертификации. Я успешно импортировал его в базу данных nss для использования браузерами. Теперь я хочу доверять ему глобально, чтобы такие инструменты, как wget, curl и т. Д. ... не пилили.
В соответствии с инструкциями в другом месте, я скопировал свой сертификат в / etc / pki / ca-trust / source / anchors /, а затем запустил «update-ca-trust extract». К сожалению, это работает только с сертификатами CA, а не с отдельными сертификатами. Как я могу достичь того, что мне нужно? Я знаю, что могу создать самоподписанный ЦС и подписать им свой сертификат, но у меня есть причины не делать этого.
Я создал свой сертификат так:
openssl genrsa -out server.key 4096
openssl req -new -key server.key -out server.crt
openssl x509 -sha256 -req -extensions v3_req -days 3650 -in server.csr -signkey server.key -out server.crt -extfile /etc/pki/tls/openssl.cnf
Любая помощь будет принята с благодарностью!
Вы хотите доверять одинарному самозаверяющему сертификату для идентификации сервера, на котором он используется, не доверяя ему как ЦС для подписи других сертификатов, или не запускать собственный корень ЦС.
Для RedHat 6 вам необходимо поместить сертификат сервера в /etc/pki/tls/certs/, в файле, имя которого является хеш-номером сертификата, с .0 добавлено.
Начните с помещения сертификата во временный файл, скажем /tmp/selfie.crt. Найдите хеш с openssl x509 -noout -hash -in /tmp/selfie.crt; давайте предположим, что это 1234abcd. Поместите сертификат в доверенное хранилище для RH6 с cp /tmp/selfie.crt /etc/pki/tls/certs/1234abcd.0.
Благодаря Руководство Ника Берча по этому вопросу для освежения моей памяти о деталях.
Хотя теперь вы можете получить публично подписанные сертификаты за 9 долларов в год, если не меньше, это становится больше проблем, чем того стоит.
Сертификат CA - это сертификат. Так что добавление сертификата в каталог должно работать. Я просто попытался добавить один из сертификатов, которым я доверял в firefox, в / etc / ca-Certific / trust-source / anchors /, удалил его из моего доверенного сертификата в ff. Я перезагрузил страницу, и мне показалось, что сертификату не доверяют. Я перезапустил firefox и теперь могу получить доступ к странице.
Мне пришлось обновить-ca-trust, чтобы он работал с wget.
Мой находится в формате .pem, файл BEGIN / END. Какой дистрибутив вы используете? Вы пытались перезапустить свои инструменты?
Центру сертификации необходимо выдать сертификат. Запрос организации в Интернете. Сертификат стоит денег, но есть организации, которые бесплатно выдают сертификаты. Обратите внимание: если доверенная организация не доверяет сертификату, браузер отобразит предупреждение системы безопасности, например: the certificate is not trusted because the issuer certificate is unknown. Также обратите внимание, что имя сертификата должно быть идентично fqdn веб-сайта.