Chứng chỉ SSL tự ký có thể được gia hạn không? Làm sao?


18

Tôi còn khá mới với chứng chỉ SSL và muốn biết liệu chứng chỉ tự ký mà tôi sử dụng cho HTTPS có thể được gia hạn để gia hạn ngày hết hạn mà không cần tất cả khách hàng của trang web phải trải qua quy trình "ngoại lệ cho phép" mà họ có phải làm gì khi họ truy cập trang web lần đầu tiên hoặc, khi cấp chứng chỉ tự ký mới được tạo từ đầu.

Tôi đã tìm thấy hướng dẫn sau đây cho thấy cách gia hạn chứng chỉ tự ký bằng cách sử dụng opensslnhưng tôi không thể sử dụng nó để trình duyệt của tôi âm thầm chấp nhận nó mà không hiển thị màn hình cảnh báo "Trang web không đáng tin cậy":

  # cd /etc/apache2/ssl
  # openssl genrsa -out togaware.com.key 1024
  # chmod 600 togaware.com.key
  # openssl req -new -key togaware.com.key -out togaware.com.csr
    AU
    ACT
    Canberra
    Togaware
    Data Mining
    Kayon Toga
    Kayon.Toga@togaware.com
    (no challenge password)
  # openssl x509 -req -days 365 -in togaware.com.csr \
            -signkey togaware.com.key -out togaware.com.crt
  # mv apache.pem apache.pem.old
  # cp togaware.com.key apache.pem 
  # cat togaware.com.crt >> apache.pem 
  # chmod 600 apache.pem
  # wajig restart apache2

Thiết lập của tôi khá nhiều như được mô tả trong câu trả lời này và tôi đang sử dụng các tệp CRT và KEY (từ hướng dẫn này ) thay vì tệp PEM, vì vậy có lẽ tôi đã nhầm lẫn khi cố gắng áp dụng nó vào trường hợp của mình.

Sau đó, một lần nữa, tôi tìm thấy nhiều mục diễn đàn cho thấy hoàn toàn không thể gia hạn chứng chỉ tự ký và tôi phải tạo một chứng chỉ mới từ đầu.

Bất kỳ trợ giúp sẽ được đánh giá cao ... hoặc câu hỏi này sẽ phù hợp hơn với /server// hoặc /superuser// ?


7
Thay vì hạ thấp câu hỏi này, xin vui lòng cho lời khuyên cụ thể những gì cần cải thiện về nó.
FriendFX

Câu trả lời:


23

Theo định nghĩa, chứng chỉ tự ký chỉ có thể được tin cậy thông qua ủy thác trực tiếp , tức là những gì trình duyệt Web như Firefox hiển thị là quá trình "cho phép ngoại lệ". Một chứng chỉ rất cụ thể, cho đến bit cuối cùng, được khai báo là "đáng tin cậy". Không có gì có thể thay đổi trong chứng chỉ mà không thoát khỏi mô hình này và đặc biệt là ngày hết hạn, là một phần của dữ liệu có trong chứng chỉ.

Bạn có thể tưởng tượng đổi mới như một loại gia đình: khi một chứng chỉ được "gia hạn", nó thực sự được thay thế bởi một anh chị em. Khách hàng chấp nhận chứng chỉ mới một cách âm thầm vì nó có cùng tổ tiên với chứng chỉ trước đó. Giấy chứng nhận tự ký là trẻ mồ côi nội tại: chúng không có tổ tiên. Do đó, không có anh chị em, và không có hộp số tự động.

(Ngoài điều tổ tiên này, đổi mới việc tạo ra một chứng chỉ mới. Chứng chỉ là bất biến . "Gia hạn" là cách nghĩ về mối quan hệ giữa chứng chỉ cũ và chứng chỉ mới.)

Nếu bạn muốn có thể thực hiện gia hạn im lặng, thì bạn cần chứng chỉ CA tự ký . Bạn phát chứng chỉ cho (các) máy chủ của mình từ CA đó và bạn yêu cầu khách hàng tin tưởng CA đó. Tất nhiên điều này đang hỏi rất nhiều: một CA mà bạn tin tưởng là một CA có thể giả mạo toàn bộ Internet trong mắt bạn. Về cơ bản, giải pháp này là về việc tạo và duy trì CA của riêng bạn, đây là trách nhiệm và một số công việc.


Lần tới khi bạn sản xuất một chứng chỉ tự ký, hãy làm cho nó tồn tại lâu dài. Chứng chỉ hết hạn để làm cho việc thu hồi hoạt động (hết hạn chứng nhận ngăn CRL phát triển vô thời hạn). Đối với chứng chỉ tự ký, không có sự thu hồi, vì vậy bạn có thể làm cho chứng chỉ có hiệu lực trong 20 năm. Hoặc trong 2000 năm, đối với vấn đề đó (mặc dù Vấn đề Năm 2038 có thể xuất hiện tại một số điểm, tùy thuộc vào phần mềm máy khách).


Cảm ơn câu trả lời sâu rộng! Tôi tự hỏi mặc dù điều đó có nghĩa gì liên quan đến hướng dẫn mà tôi liên kết đến. Có phải đó chỉ dành cho chứng chỉ CA tự ký ? Tôi đoán tôi chỉ hy vọng (và nghĩ sau khi đọc hướng dẫn) có một cách để đọc khóa riêng từ khóa cũ và tạo một ... "tương thích" mới ... giống như một "đứa trẻ" chứ không phải là một "đứa trẻ" chứ không phải là một "mồ côi". Nhân tiện, tương tự!
FriendFX

@FriendFX - Những gì bạn muốn là không thể. Tom là chính xác, renweal tạo ra một chứng chỉ mới.
Ramhound

@Ramhound - Tôi hiểu. Câu hỏi mở duy nhất là: mục đích của hướng dẫn đó là gì?
FriendFX

@FriendFX - Nó được viết bởi một số người ngẫu nhiên trên internet chỉ vì họ có một blog không có nghĩa là họ hiểu những gì họ đang viết. Tác giả chỉ đơn giản là không giải thích rằng hướng dẫn sẽ dẫn đến một chứng chỉ mới
Ramhound

3
@FriendFX Có, hướng dẫn đó sẽ chỉ hoạt động đối với chứng chỉ CA tự ký. Nếu bạn sử dụng cùng một cặp khóa và chủ đề, bạn có thể tạo nhiều chứng chỉ CA mà mỗi chứng chỉ sẽ thỏa mãn như một tổ chức phát hành hợp lệ cho các chứng chỉ được cấp; những chứng chỉ này thậm chí có thể được cấp bởi các CA cha khác nhau, được gọi là "chuỗi chéo".
Calrion

3

Câu trả lời ngắn gọn: Không.

Tin tưởng vào một chứng chỉ tự ký cũng giống như tin vào một hộ chiếu cá nhân thay vì quốc gia cấp hộ chiếu đó. Nếu bạn nhận được hộ chiếu mới, nó sẽ không được tự động tin cậy bởi một người đáng tin cậy, vì đó là một điều khác với các thuộc tính khác nhau (số hộ chiếu, ngày, v.v.); không có cơ sở để ai đó tin tưởng rõ ràng hộ chiếu cũ để biết người mới có thể tin cậy được.


0

Nếu bạn đang sử dụng chứng chỉ tự ký (tôi khuyên bạn nên sử dụng xca trên windows), bạn chỉ cần đặt ngày hết hạn là 7999-12-31 (Đó là thời gian tối đa cho UTC) và ngày ban đầu là 1970-01-01 (Dành cho khả năng tương thích với thời gian / ngày được định cấu hình sai trong PC)

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.