Apache SSL sem chave privada

Navegue suas respostas
2

No momento, estamos trabalhando com um cliente que precisa da autenticação SAML para configurar seu site de controle de qualidade em nossos servidores. Eles nos enviaram o arquivo CRT para a instalação do SSL, no entanto, eles não estão enviando a chave. Eu sei que no mínimo o SSL requer os arquivos .crt e .key para completar o handshake, mas eles estão solicitando que eu faça isso sem o arquivo .key.

Minha pergunta é: isso é possível? Esta é uma configuração obscura do apache que ninguém tentou porque não faz sentido? Eu tenho procurado por todos os tipos de documentação e saí vazio.

Claro que recebo um erro ao tentar executar o apache sem a chave: 

AH02238: Unable to configure RSA server private key
SSL Library Error: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch

Isso era esperado, mas agora espero encontrar uma solução.

Obrigado!

    
por DidierTech 22.04.2016 / 16:44

3 respostas

2

Depende completamente do uso pretendido desse certificado.

Para muitas finalidades, você precisa do par de chaves completo, mas também posso imaginar outros cenários:

  • seu cliente pode ter enviado a chave pública (fi de sua CA interna) para que você possa usá-la para validar as assinaturas SAML em suas mensagens, verificar uma conexão segura TLS ou verificar os certificados do cliente eles usam. Nesse caso, você não precisa nem deve receber a chave privada associada ...

  • Talvez um de seus colegas tenha enviado um CSR e o certificado assinado seja a resposta de seus clientes; então você já deve ter a chave privada e seu cliente certamente não ...

Você pode querer primeiro verificar o certificado com: openssl x509 -in <filename>.crt -noout -text -purpose

    
por 22.04.2016 / 17:33
1

Não. Isso não faria qualquer sentido com o sistema de autenticação de chave pública-privada.

Você pode obter o certificado de todos os sites que usam HTTPS ( dê uma olhada nisso como . Pense o que você pode fazer em ambientes locais, se o que você está pedindo era factível? Você pode muito bem representar o Google, o Facebook ou qualquer site facilmente com um pouco de trabalho.

    
por 22.04.2016 / 17:07
1

Para que o SSL funcione, .key DEVE acompanhar .crt (eles funcionam em pares, pois .key é chave privada).

se precisarem de SSL no seu Apache, você poderá gerar um certificado auto-assinado (ou fictício), o qual acabará tendo .key e .crt (ou apenas .pem ) que você pode usado com o seu Apache.

ou provavelmente o melhor caminho a seguir seria usar Vamos criptografar :

Let’s Encrypt is a new Certificate Authority: It’s free, automated, and open.

    
por 22.04.2016 / 17:00

Tags

Como usar o ldapsearch com SSL na porta diferente (-p não funciona)? como combinar um espaço em branco em uma variável bash