답변:
브라우저에는 신뢰할 수있는 "인증 기관"(CA) 인증서 목록이 있습니다. 서버의 인증서가 해당 CA 인증서 중 하나에 의해 서명되고 올바르게 구성된 경우 SSL 경고가 표시되지 않습니다.
많은 브라우저에는 Verisign, Thawte 등과 같은 많은 공통 CA 인증서가 제공됩니다. 대부분의 브라우저를 사용하면이 신뢰할 수있는 CA 목록으로 새 CA를 가져올 수 있습니다.
자체 서명 된 서버 인증서를 만드는 것처럼 자체 서명 된 CA 인증서를 만들 수 있습니다. 그런 다음이를 사용하여 서버 인증서에 서명 할 수 있습니다. 잘 알려진 회사에서 CA를 제공하지 않으면 CA는 서버 측에서 명시 적으로 가져와야합니다.
나는 xca
이것을 전에 사용 했다. CA 및 HTTP 서버용 템플릿이 있습니다. 절차는 다음과 같습니다.
그런 다음 xca
CA 인증서를 ( 사용하는 경우 파일로 ) 내 보내야합니다 (물론 개인 키는 포함하지 않음). A .pem
가 생성되지만 확장자를로 변경할 수 있습니다 .crt
. 사용자가이를 클릭하면 Firefox 및 Internet Explorer 및 기타 주요 브라우저에 설치되도록 제공됩니다. 이 .crt를 자동으로 설치하면 다음을 수행 할 수 있습니다.
그런 다음 HTTP 서버 인증서의 내보내기 기능 (서버 측의 개인 키와 인증서 모두 내보내기)을 사용하여 프록시 서버에 넣을 수 있습니다.
인증서를 /etc/ssl/certs
대상 시스템에 복사하십시오 . 그런 다음 인증서 이름으로 openssl x509 -noout -hash -in ca-certificate-file
바꾸는 명령으로 생성 된 해시를 사용하여 심볼릭 링크를 만듭니다 ca-certificate-file
. 그런 다음 자체 인증서 저장소없이 모든 프로그램에서 인증서를 승인해야합니다.
자체 인증서 저장소 (브라우저, Java 및 기타)가있는 프로그램의 경우 인증서를 가져와야합니다.
자체 서명 또는 서명 된 인증서를 생성하는 것이 가장 좋습니다.
tinyca2
자체 인증 기관 을 설치 하고 생성 할 수 있습니다 . 위 단계에서 자세히 설명한대로 인증 기관 인증서를 가져올 수 있습니다. 애플리케이션에 대한 서명 된 인증서를 생성하고 배치하십시오.
인증서를 신뢰해야하는 사용자에게 CA 인증서를 배포하십시오. 인증서를 인증서로 가져 오는 방법에 대한 정보를 제공해야 할 수도 있습니다. 경고 : 이렇게하면 다른 신뢰할 수있는 CA가되므로 CA를 적절히 보호하십시오.
자체 서명 된 인증서 또는 신뢰할 수없는 CA의 인증서를 신뢰하도록 많은 도구를 구성 할 수도 있습니다. 이것은 일반적으로 한 번만 수행됩니다. 안전하지 않은 기관에서 CA 인증서를 수락하면 승인 된 인증서 만 신뢰할 수 있으므로 더 안전 할 수 있습니다.
/etc/ssl/certs/ssl-cert-snakeoil.pem
(이것은 데비안 패키지ssl-cert
가 생성합니다). 우리는 그것을 호스트 A에 복사하고 호출합니다/etc/ssl/certs/host-B.pem
(이 호스트는 이미을 가질 수 있기 때문에ssl-cert-snakeoil.pem
). 그런 다음 실행ln -s /etc/ssl/certs/host-B.pem $(openssl x509 -noout -hash -in /etc/ssl/certs/host-B.pem)
합니다.