J'ai configuré un serveur proxy avec SSL à l'aide d'un certificat PEM. Maintenant, il y a quelques machines à moi que je voudrais faire confiance à ce certificat automatiquement (sans que le navigateur Web se plaint). Comment puis-je installer un certificat PEM sur chaque machine?
De plus, quoi de plus recommandé: générer un certificat auto-signé ou concaténer le certificat snakeoil?
Réponses:
Les navigateurs ont une liste de certificats d '«autorité de certification» (CA) de confiance. Si le certificat d'un serveur est signé par l'un de ces certificats CA et correctement formé, vous n'obtiendrez pas l'avertissement SSL.
De nombreux navigateurs sont livrés avec de nombreux certificats d'autorité de certification courants tels que Verisign, Thawte, etc. La plupart des navigateurs vous permettent d'importer une nouvelle autorité de certification dans cette liste d'autorités de certification de confiance.
Comme pour la création de votre propre certificat de serveur auto-signé, vous pouvez créer votre propre certificat d'autorité de certification auto-signé. Vous pouvez ensuite l'utiliser pour signer votre certificat de serveur. Si votre autorité de certification n'est pas fournie par une entreprise bien connue, ce qui ne serait pas le cas si vous en avez fait une, elle devra être explicitement importée côté serveur.
Je l'ai déjà xcafait auparavant. Il a des modèles pour les autorités de certification et les serveurs HTTP. La procédure est la suivante:
Vous devrez ensuite exporter (sous forme de fichier si vous utilisez xca) le certificat CA (mais ne pas inclure la clé privée bien sûr). Un .pemsera généré mais vous pouvez changer l'extension en .crt. Lorsqu'un utilisateur clique dessus, il sera proposé de l'installer sur Firefox et Internet Explorer, et éventuellement d'autres navigateurs majeurs. En ce qui concerne l'installation automatique de ce .crt, vous pouvez:
Vous pouvez ensuite utiliser les fonctions d'exportation sur le certificat de serveur HTTP (exporter à la fois la clé privée et le certificat côté serveur) pour installer votre serveur proxy.
Copiez votre certificat /etc/ssl/certssur le système cible. Créez ensuite un lien symbolique à l'aide du hachage généré par la commande en openssl x509 -noout -hash -in ca-certificate-fileremplaçant ca-certificate-filepar votre nom de certificat. Votre certificat doit ensuite être accepté par tous les programmes sans leur propre magasin de certificats.
Pour les programmes avec leur propre magasin de certificats (navigateurs, Java et autres), vous devrez importer le certificat.
Il est préférable de générer votre propre certificat auto-signé ou signé.
Vous souhaiterez peut-être installer tinyca2et générer votre propre autorité de certification. Vous pouvez importer le certificat d'autorité de certification comme indiqué dans les étapes ci-dessus. Générez et déployez des certificats signés pour vos applications.
Distribuez votre certificat CA aux utilisateurs qui doivent faire confiance à votre certificat. Vous devrez peut-être leur fournir des informations sur la façon d'importer le certificat. AVERTISSEMENT: s'ils le font, vous devenez une autre autorité de certification de confiance pour eux, alors sécurisez votre autorité de certification en conséquence.
De nombreux outils peuvent également être configurés pour approuver les certificats auto-signés ou les certificats avec des autorités de certification non approuvées. Il s'agit généralement d'une action unique. Cela peut être plus sûr qu'en acceptant un certificat CA d'une autorité non sécurisée, seul le certificat accepté est approuvé.
Sur Debian et Ubuntu , vous devez copier le certificate.pempour /usr/local/share/ca-certificates/certificate.crtet puis exécutez dpkg-reconfigure ca-certificates. /etc/ssl/certsest géré par cette commande.
/etc/ssl/certs/ssl-cert-snakeoil.pem(c'est ce que le paquet Debianssl-certcrée pour vous). Nous le copions sur l'hôte A et l'appelons/etc/ssl/certs/host-B.pem(car cet hôte peut déjà en avoir unssl-cert-snakeoil.pem). Ensuite, nous couronsln -s /etc/ssl/certs/host-B.pem $(openssl x509 -noout -hash -in /etc/ssl/certs/host-B.pem).