सवाल .Crt और .key फ़ाइलें और उन्हें उत्पन्न करने के लिए क्या है?


मेरे पास निम्न कॉन्फ़िगरेशन है:

SSLEngine on
SSLCertificateFile /etc/httpd/conf/login.domain.com.crt
SSLCertificateKeyFile /etc/httpd/conf/login.domain.com.key
SSLCipherSuite ALL:-ADH:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP

लेकिन मुझे नहीं पता कि कैसे उत्पन्न करना है .crt तथा .key फ़ाइलें।


46
2018-01-19 09:59


मूल




जवाब:


CRT और मुख्य फाइलें प्रमाण पत्र के दोनों हिस्सों का प्रतिनिधित्व करती हैं, कुंजी प्रमाण पत्र की निजी कुंजी और हस्ताक्षरित प्रमाणपत्र होने के नाते महत्वपूर्ण है।

यह केवल कर्ट उत्पन्न करने के तरीकों में से एक है, एक और तरीका एक पेम फ़ाइल या पी 12 कंटेनर में दोनों के अंदर होगा।

यदि आप प्रमाणपत्र को स्वयं हस्ताक्षर करना चाहते हैं, तो आप उन फ़ाइलों को उत्पन्न करने के कई तरीके हैं, आप केवल इन आदेशों को जारी कर सकते हैं

openssl genrsa 1024 > host.key
chmod 400 host.key
openssl req -new -x509 -nodes -sha1 -days 365 -key host.key -out host.cert

ध्यान दें कि स्व-हस्ताक्षरित प्रमाणपत्रों के साथ आपका ब्राउज़र आपको चेतावनी देगा कि प्रमाणपत्र "विश्वसनीय" नहीं है क्योंकि इसे आपके ब्राउज़र की ट्रस्ट सूची में प्रमाणन प्राधिकरण द्वारा हस्ताक्षरित नहीं किया गया है।

वहां से आप या तो अपना सीए बनाकर या Verisign या Thawte जैसी कंपनी से प्रमाणपत्र खरीदकर ट्रस्ट की अपनी श्रृंखला उत्पन्न कर सकते हैं।


48
2018-01-19 10:10



"openssl genrsa 1024> host.key" चलाने के बाद मुझे यह टर्मिनल में मिला: "ई 65537 (0x10001)" क्या यह एक त्रुटि है? - Mohammad Ali Akbari
हां, इसका मतलब यह है कि openssl यादृच्छिक बीज को उस डिफ़ॉल्ट फ़ाइल में नहीं लिख सकता जो इसे openssl.cnf द्वारा परिभाषित किया गया है, डिफ़ॉल्ट रूप से CentOS / RHEL में यह फ़ाइल /etc/pki/tls/openssl.cnf में है। इस मामले में रूट के समान आदेशों को निष्पादित करने का प्रयास करें और देखें कि यह कैसा चल रहा है। - lynxman
मैं इसे रूट के रूप में आजमाता हूं, लेकिन मुझे "ई 65537 (0x10001)" मिला है - Mohammad Ali Akbari
क्या आपके पास आपकी मशीन पर SELinux सक्रिय है? यह देखने के लिए / opens / log / संदेशों को जांचें कि openssl फ़ाइल क्यों नहीं लिख सकता है - lynxman
letsencrypt.org एक मुफ्त एसएसएल प्रदाता है। उन कंपनियों को बहुत पैसा देने के बजाय इसे देखें। - Kaan


ये एक एसएसएल प्रमाणपत्र के सार्वजनिक (.crt) और निजी (.key) भाग हैं। देख यह प्रश्न प्रासंगिक जानकारी के लिए, उदाहरण के लिए यदि आप स्वयं प्रमाण पत्र बनाना चाहते हैं, या एक खरीदना चाहते हैं।


6
2018-01-19 10:09



मूल प्रश्न लेकिन - मुझे लगता है कि मुझे .key फ़ाइल को मेरी प्रतिलिपि बनाना चाहिए ~/.ssh फ़ोल्डर, जब मैं अपने एसएसएल प्रदाता को अपनी एसएसएल प्रदाता में अपलोड करता हूं? - Qasim
@Qasim SSL-files के पास SSH के साथ कुछ भी नहीं है (जो कि .ssh-folder से संबंधित है)। - mad_vs