Certificados do lado do cliente

3

Minha empresa comprou um certificado curinga de um fornecedor. Este certificado foi configurado com sucesso com o Apache 2.2 para proteger um subdomínio. Tudo no lado SSL funciona.

Agora, preciso gerar certificados do lado do cliente x509 para emitir para este subdomínio. Estou acompanhando esta página: ( link ), começando com "Criando certificados de cliente para autenticação ".

Gerei os arquivos p12 e os importei com sucesso para o Firefox. Quando eu navego para o site agora, recebo um erro no FireFox que diz "A conexão com o servidor foi redefinida enquanto a página estava sendo carregada".

Acho que meu problema está vindo de não assinar o lado do cliente corretamente. Quando assino o certificado no lado do cliente, estou usando o arquivo PEM (RapidSSL_CA_bundle.pem) da RapidSSL (de quem nós compramos o certificado) para o argumento -CA. Para o argumento -CAkey, estou usando a chave privada do servidor. Está correto?

    
por walshms 04.03.2011 / 17:13

3 respostas

0

Não creio que a licença para um certificado curinga permita usá-lo para assinar outros certificados. Você precisa ser uma autoridade de certificação para poder fazer isso.

    
por 06.03.2011 / 01:37
0

O Apache provavelmente está redefinindo a conexão. Tente ver seus arquivos de log. Se você está no sistema * nix, isso deve estar em /var/log/apache/error.log .

    
por 04.03.2011 / 18:40
0

Use o openssl para visualizar o conteúdo do seu certificado gerado. Será então óbvio se a sua assinatura está funcionando corretamente.

openssl x509 -text -noout -in <yoursignedcert>

Se isso parecer correto e parecer ter um campo Emissor que reflita onde ele está assinado, tente usar o openssl para anexar ao seu servidor e ver o que ele está esperando.

openssl s_client -connect <host>:port -CAfile <yourtrustcert> -cert <yoursignedcert>

Isso deve dar algumas pistas sobre se o servidor está solicitando seu certificado ou não.

    
por 06.03.2011 / 00:05