importer un certificat auto-signé dans redhat
Comment puis-je importer un certificat auto-signé dans Red Hat Linux.
Je ne suis pas un expert à l'égard des certificats et de la difficulté à trouver la bonne réponse grâce à google, car je ne sais pas la différence entre un .cer, .crt ou un .pem. Cela dit, ce que j'aimerais faire, ne devrait pas être la science de fusée (sous windows je peux le faire en quelques clics dans mon navigateur)
Je veux me connecter à un serveur qui permet l'utilisation d'un certificat auto-signé. Par exemple à l'aide de wget, sans avoir à utiliser l'option --no-check-certificate option.
Pour faire ce travail, je vais avoir à ajouter le certificat d'auto-signature de du serveur à mon RedHat boîte. J'ai trouvé les certificats de résider dans /etc/pki/tls. Mais je suis à une perte de ce que les actions que je dois effectuer pour vous wget fonction, sans se plaindre.
Je peux obtenir le certificat SSL du serveur à l'aide:
openssl s_client -connect server:443
Le certificat est entre "BEGIN CERTIFICAT et CERTIFICAT de FIN d'" je ne sais pas quel type de certificat que c'est.
Ensuite, je vais avoir à le mettre dans /etc/pki/tls/certs et appliquer quelques openssl secert sauce je ne sais pas.
Pouvez-vous m'aider?
OriginalL'auteur atomcoffee | 2014-03-19
Vous devez vous connecter pour publier un commentaire.
Je ne sais pas d'un moyen d'importer un site spécifique-cert dans OpenSSL confiance db (je veux je l'ai fait!), mais puisque vous parlez d'un auto-signé cert on peut l'approcher par l'importation de vos cert en tant que nouvelle autorité de certification de confiance cert. Mais attention: vous allez également avoir fait confiance tout les sites qui sont signées par le cert.
Trouver et télécharger le cert
Vous pouvez télécharger une auto-signé cert directement à partir d'un site rapidement avec:
Notez que vous devez seulement ce faire, dans le cas d'une auto-signé cert (comme mentionné dans la question d'origine). Si le cert est signé par une autre autorité de certification, vous ne pouvez pas exécuter avec le ci-dessus; au lieu de cela, vous aurez besoin de trouver le bon CA cert et téléchargement.
Importer le cert et faire confiance
La
update-ca-trust
commande a été ajouté dans Fedora 19 et RHEL6 via RHEA-2013-1596. Si vous l'avez, vos pas sont muets-simple (mais nécessite root ou sudo):/etc/pki/ca-trust/source/anchors/
update-ca-trust enable; update-ca-trust extract
enable
de commande n'est pas nécessaire RHEL7 & moderne Fedora)Si vous n'avez pas de mise à jour-ca-la confiance, c'est seulement un peu plus difficile (et encore nécessite root ou sudo):
cd /etc/pki/tls/certs
ln -sv YOURCERT $(openssl x509 -in YOURCERT -noout -hash).0
PS: La question visée Red Hat, mais pour tous ceux qui cherchent à faire la même chose avec quelque chose en plus de Fedora/RHEL, wiki.cacert.org/FAQ/ImportRootCert pourrait être utile.
OriginalL'auteur rsaw
Vous pouvez faire ce que vous voulez faire à l'aide de ces étapes:
/etc/pki/tls/certs
" - pour l'amour d'exemple, nous allons l'appeler "myserver.pem".Calculer le hachage de certificat ce certificat par l'exécution de
openssl x509 -noout -hash -in /etc/pki/tls/certs/myserver.pem
pour exemple, supposons que la valeur de hachage est "1a2b3c4d".
Faire un lien symbolique dans le répertoire de certificats basés sur cette valeur de hachage, comme ceci:
ln -s /etc/pki/tls/certs/myserver.pem /etc/pki/tls/certs/1a2b3c4d.0
Je suis en supposant qu'il n'y a pas d'autres certificats déjà dans ce répertoire que de hachage pour la même valeur de hachage - si il y a déjà un "1a2b3c4d.0", puis faire de votre lien "1a2b3c4d.1" à la place (ou si il y a déjà un ".1", faire le vôtre ".2", etc...)
wget
et d'autres outils qui utilise le protocole SSL reconnaîtra alors que certificat valide. Il y a peut être un moyen plus simple de le faire à l'aide d'une interface graphique, mais les œuvres de le faire via la ligne de commande./etc/pki/tls/certs/
, c'est à dire: vous ne pouvez pas simplement importer & faire confiance à certains non-auto-signé site cert ici.OriginalL'auteur patbarron