cấu hình apache SSL sử dụng chứng chỉ tin cậy


1

Đây là lần đầu tiên tôi giao dịch với SSL, tôi muốn biết, liệu tôi có đúng hay không.
Tôi tạo Chứng chỉ ứng dụng khách tự gán với CA tự tạo của riêng tôi-CA.crt .

Khi tôi mua một Server-Giấy chứng nhận của một CA đáng tin cậy, tôi nhận được một
SSL Certificate-File telesec-server.crt
SSL Certificate-Chain-File telesec-ca.crt

và tôi đã bị tôi
SSL Certificate-Key-File của tôi -server.key

Bây giờ hãy đến cấu hình apache2 của tôi:

SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /somepath/telesec-server.crt
SSLCertificateKeyFile /somepath/my-server.key
SSLCertificateChainFile /somepath/telesec-ca.crt

# THIS IS THE IMPORTANT PART FOR ME NOW
SSLCACertificatePath /somepath
SSLCACertificateFile /somepath/my-own-ca.crt

SSLVerifyClient require
SSLVerifyDepth 10

<Location />
    SSLRequire %{SSL_CLIENT_M_SERIAL} in {"1234567890"}
</Location>

Cấu hình này có cho phép tôi sử dụng chứng chỉ ứng dụng khách tự ký để nhận acces vào trang web của mình không, sử dụng chứng chỉ máy chủ đáng tin cậy?

Ngay bây giờ tôi đang có chứng chỉ máy chủ tự ký. Mọi người truy cập trang web của tôi bằng các chứng chỉ ứng dụng khách đó nhận được một số tin nhắn bảo mật. Tin nhắn này sẽ biến mất khi tôi sử dụng chứng chỉ máy chủ đáng tin cậy?

Tôi có thể vẫn sử dụng chứng chỉ ứng dụng khách tự ký không? Kỳ vọng của tôi ở đây cũng là, người dùng được hiển thị một máy chủ an toàn, nhưng họ có thể tự mình sử dụng các chứng chỉ mà tôi tạo. Điều này có nghĩa là các tùy chọn cấu hình apache:
SSLCACertertPathSSLCACertertFiletrường tùy chọn , kiểm tra (nếu được đặt), nếu chứng chỉ ứng dụng khách đang cố gắng kết nối được ký bởi chứng chỉ được đặt trên tùy chọn này , phải không?

Tôi chỉ cần đảm bảo điều này vì tôi sẽ sớm mua một vài chứng chỉ máy chủ và tôi thực sự muốn trả lời câu hỏi này.

Câu trả lời:


1

Cấu hình này có cho phép tôi sử dụng chứng chỉ ứng dụng khách tự ký để nhận acces vào trang web của mình không, sử dụng chứng chỉ máy chủ đáng tin cậy?

Đúng. (Mặc dù chứng chỉ của bạn không hoàn toàn tự ký; nó được ký bởi CA, ngay cả khi đó là CA tùy chỉnh. Có lẽ thuật ngữ tốt hơn sẽ là "cấp cục bộ" hoặc "cấp tùy chỉnh"?)

Lưu ý rằng bạn chỉ cần một trong số "CACertertPath" và "CACert veFile", tốt nhất là cái sau.

Ngay bây giờ tôi đang có chứng chỉ máy chủ tự ký. Mọi người truy cập trang web của tôi bằng các chứng chỉ ứng dụng khách đó nhận được một số tin nhắn bảo mật. Tin nhắn này sẽ biến mất khi tôi sử dụng chứng chỉ máy chủ đáng tin cậy?

Vâng, đó chính xác là những gì thông điệp bảo mật nói về.


Vâng, viết đúng chính tả vẫn còn khó đối với tôi. Xin lỗi vì điều đó. Tôi đã xem lại trong tài liệu apache để kiểm tra các tùy chọn CACertertPath và CACertertFile - Điều này có thể được sử dụng thay thế và / hoặc bổ sung cho SSLCACertertPath. - bạn đúng. Cảm ơn vì tiền hỗ trợ.
Yaerox

@Mike: Cụ thể hơn, OpenSSL có thể sử dụng tệp được gói hoặc "thư mục băm", trong khi GnuTLS chỉ hỗ trợ gói tệp đơn. /// Nói về điều đó, lưu ý rằng SSLCertificateChainFilecũng không được dùng nữa - nội dung "chuỗi" sẽ được thêm vào tệp chứng chỉ của bạn.
grawity

1

Vì bạn đang thảo luận về cấu hình, điều này có thể gây rắc rối:

 SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

Đó là một rác từ những năm 1990 hoặc 2000. Nó sẽ gây ra cảnh báo Mật mã lỗi thời đáng sợ trong Chrome.

Thay vào đó, hãy thử những điều sau đây. Bạn sẽ không nhận thấy sự khác biệt, các tác nhân người dùng như Chrome sẽ không phàn nàn và các công cụ như trình kiểm tra cấu hình SSL sẽ không phàn nàn:

SSLProtocol -all +TLSv1.2
SSLCipherSuite HIGH:!aNULL:!kRSA:!MD5:!RC4

Cá nhân, tôi sử dụng SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2, nhưng chúng tôi không có gì ngoài dữ liệu giá trị thấp trên trang web của chúng tôi.

Cuối cùng, bạn có thể thấy các bộ mật mã có thể được sử dụng với lệnh SSLCipherSuitebằng OpenSSL từ dòng lệnh:

$ openssl ciphers -v 'HIGH:!aNULL:!kRSA:!RC4:!MD5'
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(256) Mac=AEAD
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(256) Mac=AEAD
ECDHE-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(256)  Mac=SHA384
ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AES(256)  Mac=SHA384
ECDHE-RSA-AES256-SHA    SSLv3 Kx=ECDH     Au=RSA  Enc=AES(256)  Mac=SHA1
ECDHE-ECDSA-AES256-SHA  SSLv3 Kx=ECDH     Au=ECDSA Enc=AES(256)  Mac=SHA1
SRP-DSS-AES-256-CBC-SHA SSLv3 Kx=SRP      Au=DSS  Enc=AES(256)  Mac=SHA1
SRP-RSA-AES-256-CBC-SHA SSLv3 Kx=SRP      Au=RSA  Enc=AES(256)  Mac=SHA1
SRP-AES-256-CBC-SHA     SSLv3 Kx=SRP      Au=SRP  Enc=AES(256)  Mac=SHA1
DH-DSS-AES256-GCM-SHA384 TLSv1.2 Kx=DH/DSS   Au=DH   Enc=AESGCM(256) Mac=AEAD
DHE-DSS-AES256-GCM-SHA384 TLSv1.2 Kx=DH       Au=DSS  Enc=AESGCM(256) Mac=AEAD
DH-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH/RSA   Au=DH   Enc=AESGCM(256) Mac=AEAD
DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH       Au=RSA  Enc=AESGCM(256) Mac=AEAD
DHE-RSA-AES256-SHA256   TLSv1.2 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA256
DHE-DSS-AES256-SHA256   TLSv1.2 Kx=DH       Au=DSS  Enc=AES(256)  Mac=SHA256
DH-RSA-AES256-SHA256    TLSv1.2 Kx=DH/RSA   Au=DH   Enc=AES(256)  Mac=SHA256
DH-DSS-AES256-SHA256    TLSv1.2 Kx=DH/DSS   Au=DH   Enc=AES(256)  Mac=SHA256
DHE-RSA-AES256-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA1
DHE-DSS-AES256-SHA      SSLv3 Kx=DH       Au=DSS  Enc=AES(256)  Mac=SHA1
DH-RSA-AES256-SHA       SSLv3 Kx=DH/RSA   Au=DH   Enc=AES(256)  Mac=SHA1
DH-DSS-AES256-SHA       SSLv3 Kx=DH/DSS   Au=DH   Enc=AES(256)  Mac=SHA1
DHE-RSA-CAMELLIA256-SHA SSLv3 Kx=DH       Au=RSA  Enc=Camellia(256) Mac=SHA1
DHE-DSS-CAMELLIA256-SHA SSLv3 Kx=DH       Au=DSS  Enc=Camellia(256) Mac=SHA1
DH-RSA-CAMELLIA256-SHA  SSLv3 Kx=DH/RSA   Au=DH   Enc=Camellia(256) Mac=SHA1
DH-DSS-CAMELLIA256-SHA  SSLv3 Kx=DH/DSS   Au=DH   Enc=Camellia(256) Mac=SHA1
ECDH-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH/RSA Au=ECDH Enc=AESGCM(256) Mac=AEAD
ECDH-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AESGCM(256) Mac=AEAD
ECDH-RSA-AES256-SHA384  TLSv1.2 Kx=ECDH/RSA Au=ECDH Enc=AES(256)  Mac=SHA384
ECDH-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AES(256)  Mac=SHA384
ECDH-RSA-AES256-SHA     SSLv3 Kx=ECDH/RSA Au=ECDH Enc=AES(256)  Mac=SHA1
ECDH-ECDSA-AES256-SHA   SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=AES(256)  Mac=SHA1
PSK-AES256-CBC-SHA      SSLv3 Kx=PSK      Au=PSK  Enc=AES(256)  Mac=SHA1
ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(128) Mac=AEAD
ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(128) Mac=AEAD
ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA256
ECDHE-ECDSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AES(128)  Mac=SHA256
ECDHE-RSA-AES128-SHA    SSLv3 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA1
ECDHE-ECDSA-AES128-SHA  SSLv3 Kx=ECDH     Au=ECDSA Enc=AES(128)  Mac=SHA1
SRP-DSS-AES-128-CBC-SHA SSLv3 Kx=SRP      Au=DSS  Enc=AES(128)  Mac=SHA1
SRP-RSA-AES-128-CBC-SHA SSLv3 Kx=SRP      Au=RSA  Enc=AES(128)  Mac=SHA1
SRP-AES-128-CBC-SHA     SSLv3 Kx=SRP      Au=SRP  Enc=AES(128)  Mac=SHA1
DH-DSS-AES128-GCM-SHA256 TLSv1.2 Kx=DH/DSS   Au=DH   Enc=AESGCM(128) Mac=AEAD
DHE-DSS-AES128-GCM-SHA256 TLSv1.2 Kx=DH       Au=DSS  Enc=AESGCM(128) Mac=AEAD
DH-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=DH/RSA   Au=DH   Enc=AESGCM(128) Mac=AEAD
DHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=DH       Au=RSA  Enc=AESGCM(128) Mac=AEAD
DHE-RSA-AES128-SHA256   TLSv1.2 Kx=DH       Au=RSA  Enc=AES(128)  Mac=SHA256
DHE-DSS-AES128-SHA256   TLSv1.2 Kx=DH       Au=DSS  Enc=AES(128)  Mac=SHA256
DH-RSA-AES128-SHA256    TLSv1.2 Kx=DH/RSA   Au=DH   Enc=AES(128)  Mac=SHA256
DH-DSS-AES128-SHA256    TLSv1.2 Kx=DH/DSS   Au=DH   Enc=AES(128)  Mac=SHA256
DHE-RSA-AES128-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(128)  Mac=SHA1
DHE-DSS-AES128-SHA      SSLv3 Kx=DH       Au=DSS  Enc=AES(128)  Mac=SHA1
DH-RSA-AES128-SHA       SSLv3 Kx=DH/RSA   Au=DH   Enc=AES(128)  Mac=SHA1
DH-DSS-AES128-SHA       SSLv3 Kx=DH/DSS   Au=DH   Enc=AES(128)  Mac=SHA1
DHE-RSA-CAMELLIA128-SHA SSLv3 Kx=DH       Au=RSA  Enc=Camellia(128) Mac=SHA1
DHE-DSS-CAMELLIA128-SHA SSLv3 Kx=DH       Au=DSS  Enc=Camellia(128) Mac=SHA1
DH-RSA-CAMELLIA128-SHA  SSLv3 Kx=DH/RSA   Au=DH   Enc=Camellia(128) Mac=SHA1
DH-DSS-CAMELLIA128-SHA  SSLv3 Kx=DH/DSS   Au=DH   Enc=Camellia(128) Mac=SHA1
ECDH-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH/RSA Au=ECDH Enc=AESGCM(128) Mac=AEAD
ECDH-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AESGCM(128) Mac=AEAD
ECDH-RSA-AES128-SHA256  TLSv1.2 Kx=ECDH/RSA Au=ECDH Enc=AES(128)  Mac=SHA256
ECDH-ECDSA-AES128-SHA256 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AES(128)  Mac=SHA256
ECDH-RSA-AES128-SHA     SSLv3 Kx=ECDH/RSA Au=ECDH Enc=AES(128)  Mac=SHA1
ECDH-ECDSA-AES128-SHA   SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=AES(128)  Mac=SHA1
PSK-AES128-CBC-SHA      SSLv3 Kx=PSK      Au=PSK  Enc=AES(128)  Mac=SHA1
ECDHE-RSA-DES-CBC3-SHA  SSLv3 Kx=ECDH     Au=RSA  Enc=3DES(168) Mac=SHA1
ECDHE-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH     Au=ECDSA Enc=3DES(168) Mac=SHA1
SRP-DSS-3DES-EDE-CBC-SHA SSLv3 Kx=SRP      Au=DSS  Enc=3DES(168) Mac=SHA1
SRP-RSA-3DES-EDE-CBC-SHA SSLv3 Kx=SRP      Au=RSA  Enc=3DES(168) Mac=SHA1
SRP-3DES-EDE-CBC-SHA    SSLv3 Kx=SRP      Au=SRP  Enc=3DES(168) Mac=SHA1
EDH-RSA-DES-CBC3-SHA    SSLv3 Kx=DH       Au=RSA  Enc=3DES(168) Mac=SHA1
EDH-DSS-DES-CBC3-SHA    SSLv3 Kx=DH       Au=DSS  Enc=3DES(168) Mac=SHA1
DH-RSA-DES-CBC3-SHA     SSLv3 Kx=DH/RSA   Au=DH   Enc=3DES(168) Mac=SHA1
DH-DSS-DES-CBC3-SHA     SSLv3 Kx=DH/DSS   Au=DH   Enc=3DES(168) Mac=SHA1
ECDH-RSA-DES-CBC3-SHA   SSLv3 Kx=ECDH/RSA Au=ECDH Enc=3DES(168) Mac=SHA1
ECDH-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=3DES(168) Mac=SHA1
PSK-3DES-EDE-CBC-SHA    SSLv3 Kx=PSK      Au=PSK  Enc=3DES(168) Mac=SHA1

Nếu bạn có khóa RSA tại máy chủ, thì các phương thức xác thực khác sẽ không được áp dụng, như DSS. Và bạn có thể cũng có thể loại bỏ PSK và SRP. Vì vậy, bạn có thể làm một cái gì đó như:

$ openssl ciphers -v 'HIGH:!aNULL:!kRSA:!RC4:!MD5:!DSS:!PSK:!SRP'

Cảm ơn bạn đã trả lời, tôi sẽ xem xét kỹ hơn các điểm bảo mật ở đây một lần nữa ... bây giờ tôi sẽ thực hiện thêm một số thử nghiệm và tôi sẽ làm việc lại vấn đề cụ thể này sau vài ngày nữa.
Yaerox
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.