PEM 인증서를 사용하여 SSL로 프록시 서버를 설정했습니다. 이제 이 인증서를 자동으로 신뢰하려는 여러 컴퓨터가 있습니다(웹 브라우저는 불평하지 않습니다). 각 컴퓨터에 PEM 인증서를 어떻게 설치합니까?
또한 자체 서명된 인증서를 생성하는 것과 뱀 오일 인증서를 연결하는 것 중 어느 것이 더 권장됩니까?
답변1
인증서를
/etc/ssl/certs대상 시스템에 복사합니다. 그런 다음 인증서 이름을 명령으로 생성된 해시 로openssl x509 -noout -hash -in ca-certificate-file바꿔 심볼릭 링크를 만듭니다.ca-certificate-file그러면 자체 인증서 저장소가 없는 모든 프로그램에서 인증서를 수락해야 합니다.자체 인증서 저장소(브라우저, Java 등)가 있는 프로그램의 경우 인증서를 가져와야 합니다.
자체 서명 또는 서명된 인증서를 생성하는 것이 가장 좋습니다.
tinyca2자체 인증 기관을 설치하고 생성할 수도 있습니다 . 위에 설명된 단계에 따라 인증 기관 인증서를 가져올 수 있습니다. 애플리케이션에 대한 서명 인증서를 생성하고 배포합니다.인증서를 신뢰해야 하는 사용자에게 CA 인증서를 배포합니다. 인증서를 가져오는 방법에 대한 정보를 제공해야 할 수도 있습니다. 경고: 이렇게 하면 귀하는 신뢰할 수 있는 또 다른 CA가 되므로 이에 따라 CA를 보호하십시오.
자체 서명된 인증서나 신뢰할 수 없는 CA의 인증서를 신뢰하도록 많은 도구를 구성할 수도 있습니다. 이는 일반적으로 일회성 작업입니다. 이는 승인된 인증서만 신뢰하므로 안전하지 않은 기관에서 CA 인증서를 승인하는 것보다 더 안전합니다.
답변2
Debian 및 Ubuntu에서는 이를 복사 certificate.pem한 /usr/local/share/ca-certificates/certificate.crt다음 실행 해야 합니다 dpkg-reconfigure ca-certificates. /etc/ssl/certs이 명령으로 관리됩니다.
답변3
브라우저에는 신뢰할 수 있는 인증 기관(CA) 인증서 목록이 있습니다. 서버의 인증서가 이러한 CA 인증서 중 하나로 서명되고 올바른 형식인 경우 SSL 경고가 표시되지 않습니다.
많은 브라우저에는 Verisign, Thawte 등과 같은 많은 공통 CA 인증서가 함께 제공됩니다. 대부분의 브라우저에서는 새 CA를 신뢰할 수 있는 CA 목록으로 가져올 수 있습니다.
자체 서명된 서버 인증서를 생성하는 것과 마찬가지로 자체 서명된 CA 인증서를 생성할 수 있습니다. 그런 다음 이를 사용하여 서버 인증서에 서명할 수 있습니다. CA가 평판이 좋은 회사에서 제공되지 않은 경우(직접 만든 경우는 제외) 서버측에서 CA를 명시적으로 가져와야 합니다.
나는 전에 이것을 해본 적이 있습니다 xca. CA 및 HTTP 서버용 템플릿이 있습니다. 절차는 다음과 같습니다.
- CA에 대한 개인 키 만들기
- "CA" 템플릿을 사용하여 이 키를 사용하여 자체 서명된 CA를 만듭니다.
- 프록시 서버용 개인 키 만들기
- 방금 생성한 CA를 참조하는 두 번째 키를 사용하여 인증서 서명 요청(CSR)을 생성합니다.
- CSR에 "서명"하면 자체 CA를 참조하는 프록시 서버 인증서를 받게 됩니다.
xca그런 다음 CA 인증서(물론 개인 키는 아님)를 내보내야 합니다(를 사용하는 경우 파일로 ). .pem하나가 생성되지만 확장자를 .crt. 이 .crt를 자동으로 설치하는 경우 다음을 수행할 수 있습니다.
- IE에서 그룹 정책 사용
- 사용자가 경고를 피하려면 .crt를 다운로드/설치하도록 요청하는 소개 페이지로 사용자를 안내하세요.
그런 다음 HTTP 서버 인증서(서버 측 개인 키 및 인증서 내보내기)의 내보내기 기능을 사용하여 프록시 서버에 배치할 수 있습니다.