Linux Admin — Создание SSL-сертификатов

Что я должен сделать, чтобы заставить Chrome принять сертификат и перестать жаловаться на него?

ответ

Обновленный Ответ

, Если Вы используете следующие версии Windows или позже: Windows Server 2012, Windows Server 2012 R2 или Windows 8.1 тогда MakeCert теперь удерживается от использования , и Microsoft рекомендует использовать PowerShell Cmdlet , Новый-SelfSignedCertificate .

при использовании более старой версии, такой как Windows 7 необходимо будет придерживаться MakeCert или другого решения. Некоторые люди предлагают Инфраструктура открытых ключей Powershell (PSPKI) Модуль .

Исходный Ответ

, В то время как можно создать самоподписанный сертификат для подписывания кода (SPC — Сертификат издателя программного обеспечения ) сразу, я предпочитаю делать следующее:

Создание самоподписанного центра сертификации (CA)

makecert -r -pe -n «CN=My CA» -ss CA -sr CurrentUser ^ -a sha256 -cy authority -sky signature -sv

(^ = позволяют пакетной командной строке обертывать строку)

Это создает самоподписанный (-r) сертификат с экспортным закрытым ключом (-pe). Это называют «Моим CA» и нужно поместить в хранилище CA для текущего пользователя. Мы используем алгоритм SHA-256 . Ключ предназначен для подписания (-небо).

закрытый ключ должен быть сохранен в файле и сертификате в файле

Импорт сертификата

CA, поскольку нет никакого смысла в наличии сертификата CA, если Вы не доверяете ему, необходимо будет импортировать его в хранилище сертификатов Windows. Вы можете использовать Сертификаты обрыв MMC, но из командной строки:

certutil -user -addstore Root Создание сертификата для подписывания кода (SPC)

makecert -pe -n «CN=My SPC» -a sha256 -cy end ^ -sky signature ^ -ic -iv ^ -sv

Это — в значительной степени то же как выше, но мы обеспечиваем ключ выпускающего и сертификат (-ic и переключатели-iv).

Мы также захотим преобразовать сертификат и ключ в файл PFX:

pvk2pfx -pvk -spc -pfx

, Если Вы хотите защитить файл PFX, добавьте — почтовый переключатель, иначе PVK2PFX создает файл PFX без пароля.

Используя сертификат для подписания кода

signtool sign /v /f ^ /t

( Видят, почему метки времени могут иметь значение )

при импорте файла PFX в хранилище сертификатов (можно использовать PVKIMPRT или обрыв MMC), можно подписать код следующим образом:

signtool sign /v /n «Me» /s SPC ^ /t

Некоторые возможные URL метки времени для signtool /t:

Полная документация Microsoft

  • signtool
  • makecert
  • pvk2pfx

Загрузки

Для тех, кто не , Вам будет нужна копия и Windows SDK. Текущая ссылка доступна здесь: SDK &.NET (который устанавливает makecert в [1 110]). Ваш пробег может варьироваться.

MakeCert доступен от Командной строки Visual Studio. Visual Studio 2015 действительно имеет его, и он может быть запущен из Меню «Пуск» в Windows 7 под «Командной строкой разработчика для VS 2015» или «Собственная Командная строка Инструментов VS2015 x64» (вероятно, все они в той же папке).

350 ответ дан DBolton 23 November 2019 в 04:30 поделиться

Другие вопросы по тегам: security code-signing Похожие вопросы:

  • 98 Худшая дыра в безопасности, которую вы видели? [закрыто] — 23 May 2017 12:03
  • 86 Практические подходы CAPTCHA, не основанные на изображениях? — 31 March 2012 22:23
  • 30 Удивление программных уязвимостей или использования? — 9 May 2013 06:51
  • 27 Когда боты нападают! [закрытый] — 23 February 2010 11:47
  • 23 Бомба замедленного действия необходима в приложении — 4 December 2009 22:16
  • 23 Инструменты/стратегия [закрываются] — 13 April 2015 12:51
  • 23 Действительно ли это этично для контроля пользователей? [закрытый] — 1 March 2015 22:34

SSL против версии TLS

В следующей таблице показано, как версии TLS и SSL будут связаны друг с другом. Я слышал, как несколько человек говорят на языке SSL версии 3.2. Тем не менее, они, вероятно, получили терминологию от чтения блога. Как профессиональный администратор, мы всегда хотим использовать стандартную терминологию. Следовательно, во время разговора SSL должен быть ссылкой на прошлые технологии. Простые вещи могут сделать соискателя CentOS похожим на опытного CS Major.

TLS SSL
3.0
1,0 3,1
1,1 3,2
1.2 3,3

TLS выполняет две основные функции, важные для пользователей Интернета сегодня: во-первых, он проверяет, кто является стороной, известный как аутентификация . Во-вторых, он предлагает сквозное шифрование на транспортном уровне для протоколов верхнего уровня, в которых отсутствует эта встроенная функция (ftp, http, протоколы электронной почты и т. Д.).

Во-первых, проверяется, кто является стороной и важен для безопасности как сквозное шифрование. Если потребитель имеет зашифрованное соединение с веб-сайтом, который не имеет права принимать платежи, финансовые данные все еще находятся под угрозой. Это то, что у каждого фишингового сайта не будет: правильно подписанный сертификат TLS, подтверждающий, что операторы веб-сайтов утверждают, что они являются доверенными центрами сертификации .

Есть только два способа обойтись без наличия надлежащим образом подписанного сертификата: обманом заставить пользователя разрешить доверие веб-браузера к самоподписанному сертификату или надеяться, что пользователь не разбирается в технологиях и не будет знать о важности доверенного сертификата. Орган (или ЦС).

В этом руководстве мы будем использовать так называемый самозаверяющий сертификат. Это означает, что без явного присвоения этому сертификату статуса доверенного в каждом веб-браузере, посещающем веб-сайт, будет отображаться ошибка, препятствующая пользователям посещать сайт. Затем пользователь выполнит несколько действий, прежде чем получить доступ к сайту с самозаверяющим сертификатом. Помните, ради безопасности это хорошая вещь.

Немного о SSL-сертификатах

SSL-сертификаты используются для шифрования информация на сайте и создания безопасных соединений. Кроме того, такой сертификат может использоваться посетителями для получения информации о VPS-сервере, на котором запущен сайт. SSL-сертификаты могут выдаваться специальные сертификационными центрами, которые уполномочены проверять и подтверждать информацию о сервере, также существуют самоподписанные сертификаты, созданные владельцами сайтов, которые никто не «заверяет».

Использование командлета New-SelfSignedCertificate для создания сертфикатов

Для создания самоподписанного сертификата в PowerShell предлагается использовать командлет New-SelfSignedCertificate, входящий в состав модуля PoSh с именем PKI (Public Key Infrastructure).

Чтобы вывести список всех доступных командлетов в модуле PKI, выполните команду:

Самоподписанные сертификаты рекомендуется использовать в тестовых целях или для обеспечения сертификатами внутренних интранет служб (IIS, Exchange, Web Application Proxy, LDAPS, ADRMS, DirectAccess и т.п.), в тех случая когда по какой-то причине приобретение сертификата у внешнего провайдера или разворачивание инфраструктуры PKI/CA невозможны.

Для создания сертификата нужно указать значения DnsName (DNS имя сервера, имя может быть произвольным и отличаться от имени localhost) и CertStoreLocation (раздел локального хранилища сертификатов, в который будет помещен сгенерированный сертификат). Командлет можно использовать для создания самоподписанного сертификата в Windows 10 (в нашем примере), Windows 8/8.1 и Windows Server 2016/2012/2012 R2.

Чтобы создать сертификат для DNS имени и поместить его в список персональных сертификатов компьютера, выполним команду:

По-умолчанию генерируется самоподписанный сертификат со следующим настройками:

Использование командлета New-SelfSignedCertificate для создания сертфикатов

Данная команда создаст новый сертификат и импортирует его в персональное хранилище компьютера. Открыв оснастку certlm.msc, проверим, что в разделе Personal хранилища сертификатов компьютера появился новый сертификат.

Чтобы экспортировать полученный сертификат c закрытым ключом в pfx файл, защищенный паролем, нам понадобится его отпечаток (Thumbprint), который нужно скопировать из результатов выполнения команды New-SelfSignedCertificate:

Можно экспортировать открытый ключ сертификата:

Полученный открытый ключ или сам файл сертификата можно установить на веб-сервер или клиентах домена с помощью GPO (пример установки сертификата на ПК с помощью групповых политик).

Использование командлета New-SelfSignedCertificate для создания сертфикатов

Одной из полезных возможностей командлета New-SelfSignedCertificate является возможность создать сертификат с несколькими различными именами Subject Alternative Names (SAN).

К примеру, создадим сертификат, у которого указаны следующие имена:

Команда создания сертификата будет такой:

Также можно выписать сертификат для всего пространства имен в домене, для этого в качестве имени сервера указывается *.

Использование командлета New-SelfSignedCertificate для создания сертфикатов
1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (Пока оценок нет)
Загрузка...
Понравилась статья? Поделиться с друзьями:
Adblock
detector