Como confiar em um certificado autoassinado sem confiar na CA?

Navegue suas respostas
1

Então, geramos um rootCA e assinamos um certificado para * .a.com, como posso confiar no certificado resultante no Firefox / Chrome, sem confiar diretamente na CA?

Observe que adicionar uma exceção (uma vez) não é suficiente nesse caso, já que há vários domínios.

    
por SeMeKh 25.04.2014 / 11:11

2 respostas

0

Existem duas abordagens possíveis:

  1. Adicione explicitamente o certificado ao gerenciador de certificados do navegador. Como o Chrome e o Firefox usam o NSS como biblioteca SSL, isso pode ser feito usando o seguinte comando (para o Chrome):

    certutil -d sql:$HOME/.pki/nssdb -A -t "P,," -n SomeCertificateName -i /path/to/certificate

  2. Emita um certificado subCA limitado pela extensão nameConstraint , para que a subCA só possa emitir certificados com o sufixo a.com . Agora confie apenas nesta subcaixa. Este artigo explica essa abordagem.
por 23.06.2014 / 18:22
0

Como o certificado não é emitido por uma CA confiável, você receberá o erro de todos os domínios aos quais o certificado curinga se aplica. O Firefox armazena as exceções de certificado com o domínio como chave, não o certificado, por isso ele pedirá que você faça uma exceção para cada domínio (mesmo com um certificado curinga).

Se você não quiser confiar na autoridade de certificação diretamente, peça ao proprietário da autoridade de certificação para criar um certificado de autoridade de certificação intermediário, que pode ser usado para emitir certificados. Você pode então adicionar a CA intermediária em seu navegador. (ou você poderia apenas criar uma nova autoridade de certificação)

    
por 25.04.2014 / 12:51

Tags

Aumentar o tamanho da imagem dentro do WINE WINSCP: o agendador de tarefas não está funcionando, mas está funcionando quando executado no console do winscp?