প্রশ্ন সার্টিফিকেশন কর্তৃপক্ষ রুট সার্টিফিকেট মেয়াদ শেষ এবং পুনর্নবীকরণ


২004 সালে, আমি লিনাক্সে ওপেনএসএলএল ও ওপেন ভিপিএন দ্বারা সরবরাহিত সহজ পরিচালনার স্ক্রিপ্ট ব্যবহার করে একটি ছোট সার্টিফিকেশন কর্তৃপক্ষ স্থাপন করেছি। সেই সময়ে আমি যে গাইডগুলি পেয়েছি তা অনুযায়ী, আমি মূল CA সার্টিফিকেটের বৈধতা সময়ের 10 বছরের জন্য নির্ধারণ করেছি। তখন থেকে, আমি ওপেনভিপিএন টানেল, ওয়েব সাইট এবং ই-মেইল সার্ভারগুলির জন্য অনেক শংসাপত্র স্বাক্ষর করেছি, যার মধ্যে 10 বছরের বৈধতাও রয়েছে (এটি ভুল হতে পারে, তবে আমি সেই সময়ে আরও ভালভাবে জানতাম না)।

আমি CA কে সেট আপ করার বিষয়ে অনেক নির্দেশিকা খুঁজে পেয়েছি, তবে এটির পরিচালনার বিষয়ে খুব সামান্য তথ্য, এবং বিশেষ করে, মূল CA সার্টিফিকেটের মেয়াদ শেষ হওয়ার পরে কী করা উচিত তা নিয়ে 2014 সালে কিছু সময় আসবে। সুতরাং আমার নিম্নলিখিত আছে প্রশ্ন:

  • রুট CA শংসাপত্রের মেয়াদ উত্তীর্ণ হওয়ার পরে বর্ধিত মেয়াদকালীন শংসাপত্রের মেয়াদ উত্তীর্ণ হওয়ার সাথে সাথেই বৈধ হবে নাকি তারা বৈধ থাকবে (কারণ তারা CA সার্টিফিকেটের বৈধতা সময় স্বাক্ষরিত হয়েছিল)?
  • মূল CA সার্টিফিকেট পুনর্নবীকরণ এবং তার মেয়াদ শেষ হওয়ার পরে একটি মসৃণ পরিবর্তন নিশ্চিত করার জন্য কোন ক্রিয়াকলাপগুলি প্রয়োজন?
    • আমি কি কোনোভাবে একটি ভিন্ন বৈধতা সময়ের সাথে বর্তমান রুট CA শংসাপত্রের পুনরায় সাইন ইন করতে পারি এবং ক্লায়েন্টদের সনদগুলি বৈধ থাকা সত্ত্বেও ক্লায়েন্টগুলিতে নতুন স্বাক্ষরিত শংসাপত্র আপলোড করতে পারি?
    • নাকি নতুন রুট CA সার্টিফিকেট দ্বারা স্বাক্ষরিত নতুন ক্লায়েন্ট সার্টিফিকেটগুলি প্রতিস্থাপন করতে হবে?
  • যখন root CA সার্টিফিকেট নবায়ন করা উচিত? মেয়াদ শেষ হওয়ার আগে, বা মেয়াদ শেষ হওয়ার আগে যুক্তিসঙ্গত সময়?
  • রুট CA সার্টিফিকেটের পুনর্নবীকরণ যদি কাজটির একটি বড় অংশ হয়ে যায়, তাহলে আমি পরবর্তী পুনর্নবীকরণের সময় কোনও সহজ পরিবর্তন নিশ্চিত করতে পারি (অবশ্যই মেয়াদকাল 100 বছরের জন্য বৈধতা নির্ধারণের স্বল্পতা)?

এই পরিস্থিতিটি সামান্য জটিল হয়ে উঠেছে যে ক্লায়েন্টের আমার একমাত্র অ্যাক্সেস ওপেন ভিপিএন টানেলের মাধ্যমে যা বর্তমান CA সার্টিফিকেট দ্বারা স্বাক্ষরিত একটি শংসাপত্র ব্যবহার করে, তাই যদি আমাকে সমস্ত ক্লায়েন্ট শার্টগুলি প্রতিস্থাপন করতে হয় তবে আমাকে কপি করতে হবে ক্লায়েন্ট নতুন ফাইল, সুড়ঙ্গ পুনরায় আরম্ভ করুন, আমার আঙ্গুল ক্রস এবং আশা করি পরে এটি আসে।


87
2017-08-30 08:34


উত্স




উত্তর:


আপনার রুট CA এ একই ব্যক্তিগত কী রাখা সমস্ত শংসাপত্রকে নতুন রুটের বিরুদ্ধে সফলভাবে যাচাই করা চালিয়ে যেতে দেয়; আপনার প্রয়োজনীয় সমস্ত নতুন রুট বিশ্বাস করা হয়।

শংসাপত্র স্বাক্ষর সম্পর্ক ব্যক্তিগত কী থেকে স্বাক্ষর উপর ভিত্তি করে হয়; নতুন প্রাইভেট সার্টিফিকেট তৈরি করার সময় একই ব্যক্তিগত কী (এবং, সম্পূর্ণরূপে একই পাবলিক কী) রাখা, নতুন বৈধতা সময় এবং প্রয়োজনীয় অন্য কোনও নতুন গুণাবলী পরিবর্তিত হয়ে, বিশ্বাসের সম্পর্ক স্থাপন করে। সিআরএলগুলিও, পুরানো শংসাপত্র থেকে নতুন পর্যন্ত চালিয়ে যেতে পারে, যেমন তারা প্রাইভেট কী দ্বারা স্বাক্ষরিত সার্টিফিকেটগুলির মতো।


সুতরাং, যাচাই করা যাক!

একটি রুট CA তৈরি করুন:

openssl req -new -x509 -keyout root.key -out origroot.pem -days 3650 -nodes

এটি থেকে একটি শিশু সার্টিফিকেট তৈরি করুন:

openssl genrsa -out cert.key 1024
openssl req -new -key cert.key -out cert.csr

শিশু সার্টিফিকেট সাইন ইন করুন:

openssl x509 -req -in cert.csr -CA origroot.pem -CAkey root.key -create_serial -out cert.pem
rm cert.csr

সমস্ত সেট, স্বাভাবিক শংসাপত্র সম্পর্ক। এর বিশ্বাস যাচাই করা যাক:

# openssl verify -CAfile origroot.pem -verbose cert.pem
cert.pem: OK

ঠিক আছে, তাই, এখন বলুন 10 বছর পার হয়ে গেছে। এর একই রুট প্রাইভেট কী থেকে একটি নতুন পাবলিক সার্টিফিকেট উৎপন্ন করা যাক।

openssl req -new -key root.key -out newcsr.csr
openssl x509 -req -days 3650 -in newcsr.csr -signkey root.key -out newroot.pem
rm newcsr.csr

এবং .. এটা কাজ করে?

# openssl verify -CAfile newroot.pem -verbose cert.pem
cert.pem: OK

কিন্তু কেন? তারা বিভিন্ন ফাইল, ঠিক আছে?

# sha1sum newroot.pem
62577e00309e5eacf210d0538cd79c3cdc834020  newroot.pem
# sha1sum origroot.pem
c1d65a6cdfa6fc0e0a800be5edd3ab3b603e1899  origroot.pem

হ্যাঁ, কিন্তু, এর অর্থ এই নয় যে নতুন সর্বজনীন কীটি প্রত্নতাত্ত্বিকভাবে শংসাপত্রের স্বাক্ষরটির সাথে মেলে না। বিভিন্ন সিরিয়াল নম্বর, একই মডুলাস:

# openssl x509 -noout -text -in origroot.pem
        Serial Number:
            c0:67:16:c0:8a:6b:59:1d
...
            RSA Public Key: (1024 bit)
                Modulus (1024 bit):
                    00:bd:56:b5:26:06:c1:f6:4c:f4:7c:14:2c:0d:dd:
                    3c:eb:8f:0a:c0:9d:d8:b4:8c:b5:d9:c7:87:4e:25:
                    8f:7c:92:4d:8f:b3:cc:e9:56:8d:db:f7:fd:d3:57:
                    1f:17:13:25:e7:3f:79:68:9f:b5:20:c9:ef:2f:3d:
                    4b:8d:23:fe:52:98:15:53:3a:91:e1:14:05:a7:7a:
                    9b:20:a9:b2:98:6e:67:36:04:dd:a6:cb:6c:3e:23:
                    6b:73:5b:f1:dd:9e:70:2b:f7:6e:bd:dc:d1:39:98:
                    1f:84:2a:ca:6c:ad:99:8a:fa:05:41:68:f8:e4:10:
                    d7:a3:66:0a:45:bd:0e:cd:9d
# openssl x509 -noout -text -in newroot.pem
        Serial Number:
            9a:a4:7b:e9:2b:0e:2c:32
...
            RSA Public Key: (1024 bit)
                Modulus (1024 bit):
                    00:bd:56:b5:26:06:c1:f6:4c:f4:7c:14:2c:0d:dd:
                    3c:eb:8f:0a:c0:9d:d8:b4:8c:b5:d9:c7:87:4e:25:
                    8f:7c:92:4d:8f:b3:cc:e9:56:8d:db:f7:fd:d3:57:
                    1f:17:13:25:e7:3f:79:68:9f:b5:20:c9:ef:2f:3d:
                    4b:8d:23:fe:52:98:15:53:3a:91:e1:14:05:a7:7a:
                    9b:20:a9:b2:98:6e:67:36:04:dd:a6:cb:6c:3e:23:
                    6b:73:5b:f1:dd:9e:70:2b:f7:6e:bd:dc:d1:39:98:
                    1f:84:2a:ca:6c:ad:99:8a:fa:05:41:68:f8:e4:10:
                    d7:a3:66:0a:45:bd:0e:cd:9d

আসল বিশ্ব শংসাপত্র যাচাইকরণে কাজ করে তা যাচাই করার জন্য একটু আরও এগিয়ে যান।

অ্যাপাচি ইনস্ট্যান্সটি ফায়ার করুন, এবং এটি একটি যেতে দিন (ডেবিয়ান ফাইল স্ট্রাকচার, প্রয়োজনীয় হিসাবে সামঞ্জস্য করুন):

# cp cert.pem /etc/ssl/certs/
# cp origroot.pem /etc/ssl/certs/
# cp newroot.pem /etc/ssl/certs/
# cp cert.key /etc/ssl/private/

আমরা এ নির্দেশাবলী সেট করব VirtualHost 443 শোনা - মনে রাখবেন, newroot.pem মূল শংসাপত্র এমনকি যখন বিদ্যমান ছিল না cert.pem উত্পন্ন এবং স্বাক্ষরিত হয়।

SSLEngine on
SSLCertificateFile /etc/ssl/certs/cert.pem
SSLCertificateKeyFile /etc/ssl/private/cert.key
SSLCertificateChainFile /etc/ssl/certs/newroot.pem

চলুন openssl এটি কিভাবে দেখায় তা পরীক্ষা করে দেখুন:

# openssl s_client -showcerts -CAfile newroot.pem -connect localhost:443

Certificate chain
 0 s:/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=server.lan
   i:/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=root
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
 1 s:/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=root
   i:/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=root
-----BEGIN CERTIFICATE-----
MIICHzCCAYgCCQCapHvpKw4sMjANBgkqhkiG9w0BAQUFADBUMQswCQYDVQQGEwJB
...
-----END CERTIFICATE-----
(this should match the actual contents of newroot.pem)
...
Verify return code: 0 (ok)

ঠিক আছে, এবং কিভাবে MS এর ক্রিপ্টো এপিআই ব্যবহার করে একটি ব্রাউজার সম্পর্কে? প্রথমে রুটকে বিশ্বাস করতে হবে, প্রথমত, এটি সমস্ত ভাল, নতুন রুটের ক্রমিক সংখ্যা সহ:

newroot

এবং, আমরা এখনও পুরানো রুট সঙ্গে কাজ করা উচিত। প্রায় Apache এর কনফিগারেশন পরিবর্তন করুন:

SSLEngine on
SSLCertificateFile /etc/ssl/certs/cert.pem
SSLCertificateKeyFile /etc/ssl/private/cert.key
SSLCertificateChainFile /etc/ssl/certs/origroot.pem

অ্যাপাচে সম্পূর্ণ পুনঃসূচনা করুন, একটি পুনরায় লোড শার্টগুলি সঠিকভাবে স্যুইচ করবে না।

# openssl s_client -showcerts -CAfile origroot.pem -connect localhost:443

Certificate chain
 0 s:/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=server.lan
   i:/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=root
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
 1 s:/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=root
   i:/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=root
-----BEGIN CERTIFICATE-----
MIIC3jCCAkegAwIBAgIJAMBnFsCKa1kdMA0GCSqGSIb3DQEBBQUAMFQxCzAJBgNV
...
-----END CERTIFICATE-----
(this should match the actual contents of origroot.pem)
...
Verify return code: 0 (ok)

এবং, এমএস ক্রিপ্টো এপিআই ব্রাউজারের সাথে, অপাচে পুরানো রুটটি উপস্থাপন করছে, তবে নতুন রুটটি এখনও কম্পিউটারের বিশ্বস্ত রুট স্টোরে রয়েছে। Apache একটি ভিন্ন শৃঙ্খলা (পুরানো রুট) উপস্থাপিত সত্ত্বেও, এটি স্বয়ংক্রিয়ভাবে এটি খুঁজে পাবে এবং বিশ্বস্ত (নতুন) রুটের বিরুদ্ধে শংসাপত্র যাচাই করবে। বিশ্বস্ত শিকড় থেকে নতুন রুট stripping এবং মূল রুট সার্ট যোগ করার পর, সব ভাল:

oldroot


সেজন্যই এটা! যখন আপনি পুনর্নবীকরণ করেন তখন একই ব্যক্তিগত কী রাখুন, নতুন বিশ্বস্ত রুটে সোয়াপ করুন এবং এটি বেশিরভাগই অনেক শুধু কাজ করে। গুড লাক!


124
2017-09-04 18:40



যাইহোক, যদি আপনি একই ব্যক্তিগত কী পুনরায় ব্যবহার করতে যাচ্ছেন তবে একটি নতুন রুট শংসাপত্র তৈরির কী কী? আপনি যদি ওভার ওভার চালিয়ে যান তবে সার্টিফিকেটের মেয়াদ শেষ হওয়ার তারিখ কী? আমি মনে করি রুট মেয়াদ উত্তীর্ণ করার জন্য প্রশাসককে একটি নতুন (সম্ভবত শক্তিশালী) ব্যক্তিগত কী করতে বাধ্য করতে ব্যবহৃত হয়েছিল যা কীগুলি ভাঙ্গার চেষ্টা করার আগে কখনও অগ্রসর হওয়া মেশিনগুলির বিরুদ্ধে আরও সুরক্ষিত। ২0 বছর আগে তৈরি 40 বিট কীটি যথেষ্ট নিরাপদ নয় - jvhashe
@jvhheshe যদি মূল শংসাপত্রটি আর ক্রিপ্টোগ্রাফিকভাবে যথেষ্ট শক্তিশালী না হয়, তবে আপনার মেয়াদ শেষ হওয়ার তারিখটি নির্বিশেষে এটি থেকে মুক্ত হওয়া উচিত। যদি আপনি নিজের রুট তৈরি করেন তবে আপনি এই গ্রহটিতে আর থাকবেন না সেক্ষেত্রে শত শত বছর আগের মেয়াদ শেষ করার জন্য আপনাকে সেটিকে থামাতে কিছুই নেই। মেয়াদ উত্তীর্ণ একটি শংসাপত্রের উপর অত্যন্ত প্রাসঙ্গিক - এবং একটি শিশু সার্টিফিকেটের জন্য, মেয়াদ উত্তীর্ণ হয় ক্রিপ্টোগ্রাফিক শক্তি সম্পর্কে নয় (CA কে যারা অক্টোবরে সমস্ত 1024-বিট কার্টগুলি প্রত্যাহারের জন্য prepping হয়) দেখুন - দেখুন এখানে আরও তথ্যের জন্য. - Shane Madden♦
উপরোক্ত ছাড়াও, আমি দেখেছি যে এই পদ্ধতিটির কাজ করার জন্য সিরিয়াল নম্বরটি একই হতে হবে। - Scott Presnell
-set_serial 01 - WTF ??? আপনি সিরিয়াল নম্বর পুনরাবৃত্তি করতে পারবেন না। আপনি এমনকি পরামর্শ আরএফসি 4158, ইন্টারনেট এক্স.509 পাবলিক কী ইনফ্রাস্ট্রাকচার: সার্টিফিকেশন পাথ বিল্ডিং? অথবা আপনি বরাবর যেতে হিসাবে আপনি এটি তৈরি করা হয়? যখন আপনি পথ নির্মাণ শুরু করেন তখন ব্যবহারকারী এজেন্টগুলিতে যে সমস্যার সৃষ্টি হয় সে সম্পর্কে আপনার কোন ধারণা নেই। - jww
@ জেলে আপনি কি উত্তরটি পড়েছেন? এটি শুধুমাত্র একটি বিক্ষোভ যে ক্রিপ্টোগ্রাফি কাজ করে। সেই কমান্ডটি আক্ষরিক অর্থে কেবল একটি পরীক্ষার শংসাপত্র তৈরি করে যা আমরা পুরোনো এবং নতুন রুট শংসাপত্রের মধ্যে সম্পর্ক পরীক্ষা করার উদ্দেশ্যে পরে যাচাই করতে পারি। যদি কেউ হয় সরাসরি সেই কমান্ডগুলি ব্যবহার করে, আমি অবশ্যই কিছু ভাঙ্গার আশা করি, এবং তারা উপলব্ধি করে যে তারা অন্ধভাবে এটি চালানোর আগে কিছু প্রসঙ্গের দিকে নজর দিতে হবে (বা হ্যান্ডেলটি বন্ধ করে কিনা 01 একটি ল্যাব একটি গ্রহণযোগ্য সিরিয়াল)। - Shane Madden♦


আমি দেখেছি যে CA এক্সটেনশানগুলির মূল CA কী পুনর্নবীকরণ শংসাপত্রের মধ্যে অনুপস্থিত হতে পারে। এটি আমার জন্য আরো উপযুক্তভাবে কাজ করেছে (এটি একটি তৈরি করে ./renewedselfsignedca.conf যেখানে v3 CA এক্সটেনশন সংজ্ঞায়িত করা হয়, এবং ca.key এবং ca.crt মূল CA কী এবং সার্টিফিকেট বলে মনে করা হয়):

openssl x509 -x509toreq -in ca.crt -signkey ca.key -out renewedselfsignedca.csr
echo -e "[ v3_ca ]\nbasicConstraints= CA:TRUE\nsubjectKeyIdentifier= hash\nauthorityKeyIdentifier= keyid:always,issuer:always\n" > renewedselfsignedca.conf
openssl x509 -req -days 1095 -in renewedselfsignedca.csr -signkey ca.key -out renewedselfsignedca.crt -extfile ./renewedselfsignedca.conf -extensions v3_ca

13
2018-04-22 10:31



এটি একটি অত্যন্ত সহায়ক সংযোজন হয়েছে। প্রকৃত মূল উত্তরটি যদি আপনার মূল রুট CA এ ইচ্ছাকৃত সেটিংস থাকে তবে আমার পক্ষে পর্যাপ্তরূপে উপযুক্ত শংসাপত্রের ফলস্বরূপ নয়। - Theuni
দ্বিতীয়, খুব সহায়ক। আরেকটি সংযোজন: স্কট প্রেস্নেলকে গ্রহণযোগ্য উত্তরের মতামতগুলিতে, আমি পুনর্নবীকরণযোগ্য শংসাপত্রের হেক্সাডেসিমেল সিরিয়াল সংখ্যার ম্যানুয়ালিও উল্লেখ করতে হয়েছিল যাতে এটি পুরানোটি মিলে যায়। এই যোগ করা বোঝানো -set_serial 0xdeadbeefabba (প্রকৃত সিরিয়াল না :) :) পরবর্তী x509 কমান্ড। শুধুমাত্র তারপর আমার ক্লায়েন্ট শংসাপত্র সফলভাবে নবায়নযোগ্য CA সার্টিফিকেটের বিরুদ্ধে যাচাই করে। - JK Laiho
এই পদ্ধতিটি পূর্ববর্তী শংসাপত্রের চেয়েও একই তথ্য রাখে সহজতর। - lepe
আমি এই সমাধান প্লাস -set_serial জন্য একটি স্ক্রিপ্ট তৈরি করেছি - আমার উত্তর দেখুন - Wolfgang Fahl
এই উত্তরটি আমাকে একটি সম্পূর্ণ কাজ বাঁচিয়েছিল, এটির প্রয়োজনে প্রায় একদিন ব্যয় করার পর, আমি প্রায় অব্যাহতি দেয়ার জন্য, আমি আপনার জন্য আমার টুপি টিপছি! - Onitlikesonic


মৌলিক মোডটি বৈধ রুটটি প্রসারিত করতে (আপনি সর্বজনীন X.509 এবং অ্যাসোসিয়েটেড ব্যক্তিগত কী প্রয়োজন):

পাবলিক X.509 এবং ব্যক্তিগত কী থেকে সিএসআর তৈরি করুন:

openssl x509 -x509toreq -in XXX.crt -signkey XXX.key -out XXX.csr

ব্যক্তিগত কী দিয়ে সিএসআর পুনরায় সাইন ইন করুন:

openssl x509 -in XXX.csr -out XXX.crt -signkey XXX.key -req -days 365

2
2018-01-22 16:35





যখন আপনার রুট শংসাপত্র মেয়াদ শেষ হয়ে যায়, তখন আপনি যে স্বাক্ষর করেছেন তার সাথে সাইন করুন। আপনাকে একটি নতুন রুট শংসাপত্র তৈরি করতে হবে এবং এর সাথে নতুন শংসাপত্র সাইন ইন করতে হবে। যদি আপনি প্রতি কয়েক বছরে প্রক্রিয়াটি পুনরাবৃত্তি করতে না চান তবে একমাত্র আসল বিকল্পটি মূলত 10 থেকে বিশ বছর মত রুট সার্টিফিকেটের বৈধ তারিখটি প্রসারিত করা: আমার নিজস্ব ব্যবহারের জন্য তৈরি মূলটি আমি বিশ বছর নির্ধারণ করেছি।

আপনি একটি রুট সার্টিফিকেট "নবায়ন" করতে পারবেন না। আপনি কি করতে পারেন একটি নতুন এক উত্পন্ন হয়।

আপনার পুরাতন এক মেয়াদ শেষ হওয়ার আগে অন্তত একটি বছর বা দুটি নতুন রুট তৈরি করুন যাতে কিছু ভুল হলে কোনও সময় প্রাচীরের বিপক্ষে আপনার পরিবর্তনের সময় থাকে। নতুন সমাধান নিয়ে আপনার সমস্যাগুলি সমাধান না হওয়া পর্যন্ত আপনি সবসময় অস্থায়ীভাবে পুরানো শার্টগুলিতে ফিরে যেতে পারেন।

যতদূর ভিপিএন টানেল চলে যায়, আমি পরীক্ষার জন্য কয়েকটি পরীক্ষক সার্ভার সেট আপ করব যাতে আপনি কোনও ক্লায়েন্টের মেশিনের সাথে এটি করার আগে আপনাকে অবশ্যই কী করতে হবে তা বোঝেন।


0
2017-09-03 23:59



এই উত্তর মনে হচ্ছে যে এটি কী কী পুনরায় ব্যবহার করে একটি রুট শংসাপত্র পুনর্নবীকরণ করা সম্ভব। তবে আমি সন্দেহ করি যে এটি স্ক্র্যাচ থেকে শুরু করার থেকে ভিন্ন নয়, কারণ নতুন শংসাপত্রটির একটি স্বাক্ষর থাকবে, এবং সেই কারণে বিদ্যমান ক্লায়েন্ট শংসাপত্রগুলি যাচাই করা হবে না। - Remy Blank
হ্যাঁ, আপনি বৈধ সময়সীমার প্রসারিত করতে পারেন ... এবং সমস্ত পিকি, ক্লায়েন্ট সার্টিফিকেট, এবং নতুন রুট পুনরুদ্ধারের চেয়ে কম কাজ ... - ggrandes
নতুন শেষ-সত্তা সার্টিফিকেট প্রদান সম্পর্কে অংশ অগত্যা সত্য নয়। কর্তৃপক্ষ কী সনাক্তকারী (একিআইডি) অধীনস্থ CAs এবং শেষ-সত্তা সার্টিফিকেটের প্রতিনিধিত্ব করে তা নির্ভর করে। যদি AKID ভিত্তিক হয় {বিশিষ্ট নাম, সিরিয়াল নম্বর}তারপর, ধারাবাহিকতা অর্জন করা হবে। এছাড়াও দেখুন আরএফসি 4518, ইন্টারনেট এক্স.509 পাবলিক কী ইনফ্রাস্ট্রাকচার: সার্টিফিকেশন পাথ বিল্ডিং। - jww


@ বাইয়ানকনিগ্লিও প্লাস-সেট_সিয়িয়িয়াল আমার জন্য কাজ করেছে। আমার সার্ভার কেবলমাত্র ইন্ট্রানেট তাই আমি পার্শ্বপ্রতিক্রিয়াগুলি সম্পর্কে খুব বেশি চিন্তা করি না এবং আমার এখন "সঠিক" সমাধান করার জন্য সময় আছে।

আমি নিম্নলিখিত কনফিগারযোগ্য স্ক্রিপ্ট ব্যবহার। শুধু CACRT, CAKEY এবং NEWCA ভেরিয়েবল সেট করুন।

# WF 2017-06-30
# https://serverfault.com/a/501513/162693
CACRT=SnakeOilCA.crt
CAKEY=SnakeOilCA.key
NEWCA=SnakeOilCA2017
serial=`openssl x509 -in $CACRT -serial -noout | cut -f2 -d=`
echo $serial
openssl x509 -x509toreq -in $CACRT -signkey $CAKEY -out $NEWCA.csr
echo -e "[ v3_ca ]\nbasicConstraints= CA:TRUE\nsubjectKeyIdentifier= hash\nauthorityKeyIdentifier= keyid:always,issuer:always\n" > $NEWCA.conf
openssl x509 -req -days 3650 -in $NEWCA.csr -set_serial 0x$serial -signkey $CAKEY -out $NEWCA.crt -extfile ./$NEWCA.conf -extensions v3_ca
openssl x509 -in $NEWCA.crt -enddate -serial -noout

0
2018-06-30 17:33





আমাদেরও একই সমস্যা ছিল, এবং এটি আমাদের ক্ষেত্রে ছিল কারণ ডেবিয়ান সার্ভারটি পুরনো ছিল, এবং ওপেনএসএসএল এই সমস্যাটি নিয়েছিল:

https://en.wikipedia.org/wiki/Year_2038_problem

ডেবিয়ান 6 এর জন্য উপলব্ধ OpenSSL এর সর্বশেষ সংস্করণ এই সমস্যাটি এনেছে। 23.01.2018 এর পরে তৈরি সমস্ত সার্টিফিকেট একটি বৈধতা তৈরি করে: 1901 বছরের জন্য!

সমাধান OpenSSL আপডেট করা হয়। আপনি আবার ক্লায়েন্টদের জন্য কনফিগারেশন ফাইল (সার্টিফিকেটের সাথে) তৈরি করতে পারেন।


0
2018-03-09 10:38





জনপ্রিয় প্রশ্ন

ভার্চুয়ালবক্স - গেস্ট অপারেটিং সিস্টেমের জন্য ডাইনামিক RAM বরাদ্দ কিভাবে আইপিভি 6 লিনাক্স রাউটার, অটোকনফ এবং একক ইন্টারফেসের জন্য রাউটার বিজ্ঞাপন গ্রহণ করুন বিবিডব্লিউসিঃ তত্ত্বের মধ্যে একটি ভাল ধারণা কিন্তু কখনও কি আপনার ডেটা সংরক্ষিত হয়েছে? একটি ভিএমওয়্যার অ্যাডমিন আমাদের আবেদন জন্য VMware কর্মক্ষমতা প্রয়োজনীয়তা বর্ণনা কিভাবে? এসএসএস টানেলিংয়ের অদ্ভুত আউটপুট: আউটপুট ব্যর্থ হয়েছে; সংযোগ ব্যর্থ হয়েছে: সংযোগের সময় শেষ হয়েছে; প্যাসিভ মোড দিয়ে কাজ করার জন্য vsftpd কিভাবে কনফিগার করবেন প্রক্সি প্যাস কিভাবে ব্যবহার করবেন তা বুঝতে আমাকে সাহায্য করুন