Configurações SSL para certificado intermediário

Navegue suas respostas
3

Eu tinha implementado uma autenticação de certificado mútuo e funcionou com sucesso para as etapas a seguir:

  1. crie raiz ca (auto-assinado)
  2. crie um certificado de servidor e assine-o com uma chave privada
  3. crie certificados de usuários e assine-os com uma chave privada
  4. import server.crt como "autoridade" para o navegador e user.crt como "seus certificados"

  5. configure ssl.conf para adicionar essas linhas: 

    SSLCertificateKeyFile /home/safaa/rootca/certs/server.key

SSLCertificateFile /home/safaa/rootca/certs/server.crt

SSLCACertificateFile /home/safaa/rootca/certs/rootca.crt

SSLVerifyDepth  10

SSLVerifyClient require

agora adicionei um certificado intermediário ao meu fluxograma e as etapas se tornaram:

  1. crie uma CA raiz (autoassinada)
  2. crie uma CA do servidor e assine-a com a chave privada da CA
  3. crie um certificado do servidor e assine-o com a chave privada da CA do servidor
  4. crie certificados de usuários e assine-os com a chave privada da CA do servidor
  5. import server.crt como "autoridade" para o navegador e user.crt como "seus certificados"

  6. configure ssl.conf para adicionar essas linhas: 

    SSLCertificateKeyFile /home/safaa/serverCA/certs/server.key

SSLCertificateFile /home/safaa/serverCA/certs/server.crt

SSLCACertificateFile /home/safaa/serverCA/certs/serverCA.crt

SSLVerifyDepth  10

SSLVerifyClient require

agora quando estou tentando reiniciar o serviço httpd:   serviço httpd restart Estou recebendo 

#sudo service httpd start
Starting httpd:                                            [FAILED]

#sudo service httpd status
 httpd is stopped

Eu tentei comentar & descomentar linhas, mas eu não consegui fazer o trabalho 

SSLCertificateChainFile /home/safaa/rootca/certs/rootca.crt
SSLCACertificateFile /home/safaa/serverCA/certs/serverCA.crt

também, todos os certificados que eu criei eu fiz uma verificação e todos eles cinco eu que verifiquei que está tudo bem, eu também mudei de proprietário e permissões para pastas de rootca & & serverCA e torná-los o mesmo para ssl.conf p.s: Estou correndo meu bash para php.

o que eu perdi? alguém me disse que eu posso usar o repositório confiável no Linux em vez de configurar o SSL, isso é possível? onde adicionar meu ca para o Linux para fazê-lo ver como verisign!

    
por Nancy Smith 05.05.2013 / 13:32

1 resposta

0

Respondendo à pergunta antiga porque isso surgiu como uma sugestão ao procurar outra resposta:

Em geral, você não precisa adicionar um certificado de servidor a um navegador, a menos que seja autoassinado. Esse é todo o propósito de uma cadeia de confiança. Passar pelo problema de criar uma CA intermediária é meio inútil se você não estiver usando a raiz como uma âncora de confiança em qualquer lugar.

Eu também não acho que você esteja entendendo completamente o uso ou efeitos das diretivas. Eu sugiro revisá-los na Documentação do Apache aqui . Acho que o que você pode estar procurando primeiro é SSLCACertificateFile

Quanto ao meu comentário inicial, de acordo com os documentos, o SSLCertificateFile também deve carregar informações intermediárias certs do mesmo arquivo (basta anexar os certificados raiz intermediários e (opcionalmente?) ao server.crt). Isso deve permitir que você importe o certificado da CA raiz para o seu navegador como uma CA confiável em vez de um certificado (s) de servidor individual.

Veja também: esta resposta para discussão adicional sobre autenticação mútua.

    
por 20.09.2017 / 20:20

Tags

Calendário e contatos do Syncronising entre o Thunberbird e o Android usando o software Linux Por que o resolv.conf está escrito sem o 'e'? [duplicado]