Tanusítvánnyal való belépés engedélyezése

Linux-kezdő

Tanusítvánnyal való belépés engedélyezése

  • 924 megtekintés

( tomykav | 2006. 06. 28., sze – 15:28 )

Helló!

A problémám a következő: van egy lejárt tanúsítványom egy levelező rendszerhez, ami időnként leszedi a leveleimet egy másik szerverről. Akárhányszor kapcsolódok hozzá, mindig el kell fogadnom a lejárt tanúsítványt és már nagyon idegesít.
Találtam a Google-val egy doksit arról, hogyan lehet meghosszabbítani. A tanúsítvány megvan, de ahhoz, hogy meg tudjam hosszabbítani, kellene néhány állomány, ami hiányzik. Pl.: cacert.pem, cakey.pem. Az a baj, hogy nem én lőttem be annak idején a rendszert. Hogyan tudnám mégis meghosszabbítani? Vagy milyen módon lehetne új tanúsítványt generálni, hogy ismét működjön rendesen a levelezés?

A válaszokat előre is köszönöm!
tomykav

( tata2k | 2005. 08. 17., sze – 18:00 )

Hali, itt nezted mar a dolgot?
http://httpd.apache.org/docs/2.0/ssl/ssl_howto.html#arbitraryclients
kiindulasnak semmikepp nem rossz.

A Certeket meg leginkabb scripttel meg openssl-lel tudod megoldani, a legegyszerubb megoldas nyilvan az hogy a szervered a sajat PKI-ROOT-ja, es a kliens-certeket o maga irja ala. Akkor vissza tudod kovetni hogy tenyleg Te vagy-e a root, ha igen, akkor josag van es bemehet.

( keri | 2005. 08. 17., sze – 22:20 )

Igen én is az openssl -el akarom előállítani a kulcsokat csak még a syntaxisra nem jöttem rá...sajna

( kasa | 2005. 08. 17., sze – 22:29 )

[quote:a313c34d9b="keri"]Igen én is az openssl -el akarom előállítani a kulcsokat csak még a syntaxisra nem jöttem rá...sajna

A tinyca-val próbáltad már? http://tinyca.sm-zone.net
Nekem sokat segített anno. :lol:

( jolle | 2005. 08. 18., cs – 09:17 )

Openssl:

Letezik a csomagban egy CA vagy CA.sh vagy CA.pl nevu script. Ezekkel tudod legyartani a tanusitvanyt/kulcsot. Eloszor a _newca_ kapcsoloval legyartod azt az onalairt root CA-t, amivel majd alairod a klienseknek szolo tanusitvanyt. Aztan a _newreq_ kapcsoloval legyartod a klienset, majd a _sign_ kapcsoloval lefuttatva a scriptet alairod azt. Ha belenezel a scriptekbe, akkor talalsz egy -nodes kapcsolot. Ezzel azt tudod megadni, hogy ha privat kulcsot csinalsz, akkor az ne legyen titkositva. Hasznalata fakultativ.
Az ervenyesseg idotartamat (a scriptben?) a _days_ kapcsoloval tudod beallitani, de a regi jo szokashoz hiven, ugyanazon gyarto kulonbozo verzioju disztribuciojanal ez nem mindig mukodik. Ha ez elofordulna, akkor az openssl.cnf fajl megfelelo valtozojat is beallithatod.
Kapsz harom fajlt. Ezek a cacert.pem, newcert.pem es a newreq.pem. Az elso a tanusitvanyt kiallito szervere, a masodik a kliense, a harmadik pedig a kliens kulcsa.
Ja, a folyamat soran a _Common Name_ annak a gepnek az FQDN-je, akinek gyartod a tanusitvanyt, kulonben nem fog menni a dolog.

( keri | 2005. 08. 17., sze – 17:15 )

Sziasztok!

Azt szeretném megoldani, hogy az itteni szerveren való weboldalt csak azok tudják megnézni akiknek a böngészőjükbe be van importálva a szerveren legyártott nyilvános certificate.

Ezt hogyan tudom megoldani kulcs generálással?
Milyen parancs kellene?

Előre is köszi

Keri

Hát már azóta eltelt lassan 1 év, de azért válaszolok rá, mert kitudja kinek jön még jól:
RSA kulcspár generálása:

1. Első lépésben generálnunk kell lehetőleg minál több véletlen számot.
parancs: [cat /dev/random > /tmp/random]
A random egy véletlenszám generáló eszköz, mely eredménye a /tmp/random fájlban köt ki. Kb 10-20 mp után szakítsuk meg a folyamatot.

2. Generáljunk kulcspárt
parancs: [openssl genrsa -des3 -out server.key -rand /tmp/random 1024]
A generálás során kérni fog jelszót. A kulcskat a server.key fájlban fogjuk megtalálni. (ennek természetesen bármi lehet a neve)

3. Írjuk alá a publikus kulcsunkat. Az aláírással létrejön a tanúsítvány.
parancs: [openssl req -new -x509 -key server.key -out server.crt]
A folyamat során kér pár dolgot: Országkód, megye, település ...

Na én ennyit tudok mondani az apache tudományomból kilopva