Hogyan lehet az SSL-tanúsítvány megbízható, Pavel Ruban
Hogyan készítsünk saját SSL tanúsítvány megbízható
Amikor felveszi a helyi példány fejlesztésére és van szüksége az SSL, folyamatosan vylaziet üzenetet, hogy az SSL kapcsolat nem ellenőrzött, és a böngésző felajánlja, hogy megszünteti a kérelmet, vagy például, ha használ hosting szolgáltatások, és nem akarjuk, hogy vesz egy tanúsítványt a pénzt. Ez a cikk meg fogja vizsgálni, mint egy módja annak, hogy a megbízható tanúsítványt (zöld), és ne brazuera figyelmeztetések minden nap.
A tényleges hibaüzenet így néz ki:
Miért történik ez? Ez azért történik, mert az Ön által létrehozott SSL tanúsítvány és a tanúsítvány nincs aláírva, vagy bárki, vagy még mindig aláírta, de a böngésző nem bízik meg egy aláírás, amely a tanúsítvány aláírása. Ie Ez a kapcsolat használ titkosítási protokollt, és védve van, de nem világos, hogy bízhat a távoli szerveren, ahol akkor küldje el védett titkosított fontos adatokat.
Más szóval, ott Client SSL tanúsítvány és egy SSL tanúsítvány által aláírt igazolást az (ügyfél), amely egy web szerver vagy egy másik alkalmazás, amely védi az adatokat az SSL használatával. Ő hívott CA - hitelesítésszolgáltató tanúsítványa.
Ez azt jelenti, hogy van valamiféle közösség, mely rányomta aláírás (a CA tanúsítványa) valaki másnak igazolás (Client Certificate), és azt mondja, hogy biztonságos, és az emberek vagy gép használatához (Client) igazolás (a CA által aláírt tanúsítvány) akkor meg lehet bízni. De a böngésző nem hiszem, hogy ez a közösség, ha nem adunk a kezdeti települések listáját, amelyet a böngésző bízik az alapértelmezett telepítés.
Akkor nem egyszerű - megmondja a böngésző - hisz ez a közösség, vagyis a felelősséget a bizalmat szedése a mondás - Úgy vélem, ez a közösség, a böngésző, vagy bármely más SSL ügyfél fog hallgatni rád és az igazolásokat a CA által aláírt SSL tanúsítványt, hogy a hozzáadott a böngészőben fog megjelenni zöld - azaz, mint bízni.
Mi itt a probléma? A probléma az, hogy más emberek, akik használják a forrás felett SSL alapértelmezés szerint nem bízik a CA tanúsítvány hoztunk létre, és megjelenik egy hibaüzenet. Azonban, ha van egy vállalati hálózat, hogy ez a tanúsítvány megbízható, ugyanazon a helyen, és az összes hálózati ügyfelek nem tapasztal problémákat.
Továbbá, ha azt akarjuk, hogy az alapértelmezett hálózati ügyfelek bízik az erőforrások, hogyan lehetséges az, lehet, hogy sejtette, szükség van egy SSL tanúsítvány, amely aláírta a közösség, amely az alapértelmezett böngésző megbízhatónak.
Talán, de ez nem biztos - van egy módja a Ügyféltanúsítvány hogy annak érdekében, hogy a böngésző elküldi a kérelmet a bizalmi szavazás a szerveren, hogy szerepel-e az ügyfél az SSL-tanúsítvány nem módosíthatja minden egyes alkalommal a hálózat és emelje a szerver szolgáltatás, amely azt jelenti, hogy a bizalom a CA bizonyítvány, de ez az információ nem pontos, és úgy néz ki, kétséges. mert ez kicsit másként működik - eredetileg böngésző bízik bizonyos CA közösségek és ellenőrzése során SSL csatorna, a böngésző a bizonyítvány által használt alagút aláírás ellenőrzése, ha lekérdezi az összes megbízható CA lehetőséget megbízik a CA-tanúsítvány az alagút által aláírt SSL klienstanúsítványhoz használó az alagútban. Másfelől, az egyes CA soobschetvo (előre meghatározott a böngésző) lehet egy fa-szerű rendszer, azaz ez átruházhatja a jogot, hogy aláírja (bizalom) egyéb kisebb CA, ami viszont egy másik, és így tovább, és ha egyikük bízik a fő CA azt mondja, hogy a tanúsítvány megbízható, a kérelmet küldött vissza a lépcsőn az eredeti CA és reagál a böngésző - igen, a tanúsítvány biztonságos.
Azaz, hogy ez a munka akár helyben, akár globálisan meg kell kezdeni, hogy egy kliens SSL tanúsítvány és a CA SSL tanúsítvány van, hogy aláírja a kliens SSL tanúsítványt. A többi csak ahogy megbízható CA tanúsítvány egy közvetítőn keresztül vagy kézzel, hogy ez a böngésző is, de az első lépés ennek a folyamatnak közös a két megoldás.
Mivel a további vizsgálatot a témában -, hogyan lehet az alapértelmezett tanúsítvány megbízható minden felhasználó a hálózaton (globálisan) nem az én problémám (és úgy néz ki, kétséges, ha nem adja át a szükséges eljárást a megbízható CA, vagy hogy írja alá a CA a CA-tanúsítvány), én nem tanulmányozta ezt a kérdést ebben az összefüggésben, de az alatt fogom megosztani veletek, hogyan lehet a kapcsolatokat a meghatalmazást (ahogy azt az első része a bejegyzést - vagyis létrehozni egy CA, hogy írja alá a saját SSL tanúsítványt, és kézzel adja hozzá a CA, hogy jelentkezzen az SSL-tanúsítvány melltartó Uzer mint megbízható).
Ezen része a kulcs kész, magánkulcsokat senkinek nem kell átadni, különben így a legfontosabb, hogy a házát illetéktelen kezekbe. De az állami igazolások (pl CA az SSL-tanúsítvány) átadható harmadik felekkel oly tudnak hozzáadni ezt az igazolást megbízható és mikor megy olyan erőforrás, amely az SSL ügyfél által aláírt tanúsítványt a CA az SSL tanúsítványt, a böngésző a hozzáférést engedélyezni CA vannak előre adunk (CA Publis SSL tanúsítvány) és tudják, hogy Concatenate van beállítva, hogy egy megbízható tagja.