Eu configurei um servidor proxy com SSL usando um certificado PEM. Agora, existem algumas máquinas minhas nas quais gostaria de confiar neste certificado automaticamente (sem que o navegador da web se queixe). Como posso instalar um certificado PEM em cada máquina?
Além disso, o que é mais recomendado: gerar um certificado autoassinado ou concatenar o certificado de óleo de cobra?
Respostas:
Os navegadores têm uma lista de certificados confiáveis de "autoridade de certificação" (CA). Se o certificado de um servidor for assinado por um desses certificados da CA e formado corretamente, você não receberá o aviso SSL.
Muitos navegadores são fornecidos com muitos certificados de CA comuns, como Verisign, Thawte, etc. A maioria dos navegadores permite importar uma nova CA para esta lista de CAs confiáveis.
Como criar seu próprio certificado de servidor autoassinado, você pode criar seu próprio certificado de CA autoassinado. Você pode usá-lo para assinar o certificado do servidor. Se a sua autoridade de certificação não for fornecida por uma empresa conhecida, o que não seria uma empresa que você fez, ela deverá ser explicitamente importada no servidor.
Eu já xcafiz isso antes. Possui modelos para CAs e servidores HTTP. O procedimento é este:
Você precisará exportar (como um arquivo, se estiver usando xca) o certificado da CA (mas não inclua a chave privada, é claro). A .pemserá gerado, mas você pode alterar a extensão para .crt. Quando um usuário clica nisso, ele será oferecido para instalação no Firefox e no Internet Explorer, e possivelmente em outros navegadores principais. Quanto à instalação automática deste .crt, você pode:
Você pode usar as funções de exportação no certificado do servidor HTTP (exportar a chave privada e o certificado para o lado do servidor) para colocar no servidor proxy.
Copie seu /etc/ssl/certscertificado no sistema de destino. Em seguida, crie um link simbólico usando o hash gerado pelo comando openssl x509 -noout -hash -in ca-certificate-filesubstituindo ca-certificate-filepelo nome do seu certificado. Seu certificado deve ser aceito por todos os programas sem seu próprio armazenamento de certificados.
Para programas com seu próprio armazenamento de certificados (navegadores, Java e outros), você precisará importar o certificado.
É melhor gerar seu próprio certificado autoassinado ou assinado.
Você pode instalar tinyca2e gerar sua própria autoridade de certificação. Você pode importar o certificado da autoridade de certificação, conforme detalhado nas etapas acima. Gere e implante certificados assinados para seus aplicativos.
Distribua seu certificado de CA para os usuários que precisam confiar em seu certificado. Pode ser necessário fornecer informações sobre como importar o certificado para eles. AVISO: Se eles fizerem isso, você se tornará outra CA confiável para eles, então proteja-a de acordo.
Muitas ferramentas também podem ser configuradas para confiar em certificados autoassinados ou certificados com CAs não confiáveis. Isso geralmente é uma ação única. Isso pode ser mais seguro que, ao aceitar um certificado CA de uma autoridade insegura, apenas o certificado aceito é confiável.
No Debian e Ubuntu, você deve copiar o arquivo certificate.pempara /usr/local/share/ca-certificates/certificate.crte depois executar dpkg-reconfigure ca-certificates. /etc/ssl/certsé gerenciado por esse comando.
/etc/ssl/certs/ssl-cert-snakeoil.pem(é isso que o pacote Debianssl-certcria para você). Nós o copiamos para o host A e o chamamos/etc/ssl/certs/host-B.pem(já que esse host já pode ter umssl-cert-snakeoil.pem). Então nós corremosln -s /etc/ssl/certs/host-B.pem $(openssl x509 -noout -hash -in /etc/ssl/certs/host-B.pem).