Как установить сертификат Linux
Обновлено: 21.11.2024
В этой статье мы покажем вам, как установить SSL-сертификат на сервер Red Hat Linux (RHEL) Apache. Вы также узнаете, как сгенерировать код CSR на RHEL — необходимый шаг для активации сертификата SSL. В третьей части вы узнаете несколько интересных фактов о Red Hat, а в последнем разделе этой статьи мы дадим вам полезные советы о том, где купить лучший SSL-сертификат для Red Hat Linux. Если вы уже создали CSR, можете пропустить следующий раздел.
Создайте CSR в Red Hat Linux
Запрос на подпись сертификата, или просто CSR, представляет собой небольшой текстовый файл, содержащий информацию о вашем владении доменом и/или компании. Создание CSR является неотъемлемой частью процесса покупки SSL. Все коммерческие центры сертификации требуют, чтобы кандидаты SSL выполнили этот шаг. Вот как вы можете создать свой CSR в Red Hat Linux:
Утилита OpenSSL мгновенно создаст два файла:
- .key, содержащий ваш закрытый ключ (он понадобится вам позже во время установки SSL)
- .csr, содержащий ваш код CSR (он понадобится вам при подаче заявки на сертификат SSL)
Откройте файл yourdomain.csr в текстовом редакторе по вашему выбору и скопируйте и вставьте его содержимое, включая теги --BEGIN CERTIFICATE REQUEST --- и нижнего колонтитула --END CERTIFICATE REQUEST -- во время оформления заказа у поставщика SSL. .
Установите SSL-сертификат в Red Hat Linux
Ваш центр сертификации предоставит необходимые установочные файлы по электронной почте. Вам необходимо скачать zip-папку и извлечь ее содержимое на сервер/рабочий стол. Выполните следующие действия, чтобы завершить установку SSL:
1. Откройте файл основного сертификата SSL в текстовом редакторе по вашему выбору, скопируйте все содержимое, включая теги Начальный сертификат и Конечный сертификат, и вставьте его в новый файл. Назовите его yourdomain.crt .
Поздравляем, вы успешно установили SSL-сертификат. Вы можете использовать один из этих отличных инструментов SSL для проверки состояния вашей установки. Мгновенное сканирование обнаружит любые потенциальные ошибки и уязвимости, которые могут повлиять на производительность сертификата.
История Red Hat
Red Hat, Inc. — американская транснациональная компания-разработчик программного обеспечения, предлагающая предприятиям программное обеспечение с открытым исходным кодом. Компания Red Hat, основанная в 1993 году, стала дочерней компанией IBM 9 июля 2019 года.
Red Hat Enterprise Linux (RHEL) — это дистрибутив Linux, разработанный Red Hat для коммерческого рынка. Впервые выпущенный в 2000 году, RHEL доступен для следующих платформ: x86-64; АРМ64; IBM Z; Система питания IBM. Последняя версия RHEL на момент написания этого руководства — 8.3.
Где купить лучший сертификат SSL для Red Hat Linux?
Лучшее место, где можно получить SSL-сертификат для Red Hat Linux, — это SSL Dragon. Мы предлагаем непревзойденные цены и скидки на весь спектр наших продуктов SSL. Мы тщательно отобрали лучшие бренды SSL на рынке, чтобы обеспечить ваш сайт надежной защитой. Все наши SSL-сертификаты совместимы с Red Hat Linux. Вот типы SSL-сертификатов, которые мы продаем:
Чтобы помочь вам выбрать идеальный сертификат SSL, мы разработали два эксклюзивных инструмента SSL. Нашему мастеру SSL требуется всего пара секунд, чтобы найти лучшее предложение SSL для вашего веб-сайта, а расширенный фильтр сертификатов позволяет сортировать и сравнивать различные сертификаты SSL по цене, проверке и функциям.
Если вы обнаружите какие-либо неточности или у вас есть детали, которые нужно добавить к этим инструкциям по установке SSL, отправьте нам свой отзыв по адресу [email protected] Мы будем очень признательны за ваш вклад! Спасибо.
Как импортировать сертификат, чтобы удалить это? Импорт должен иметь возможность аутентифицироваться для меня. Кроме того, это файл .cer, поэтому ответ для .crt не подойдет. Кроме того, мне не нужны шаги по настройке git, которые у меня уже есть. Я хочу знать, возможно ли это сделать. Или я могу просто полностью отключить аутентификацию с помощью команды git и заставить ее игнорировать сертификаты, как в ответе здесь? Кроме того, я не хочу, чтобы веб-страница загружалась, я установил Firefox для этого. Я хочу, чтобы команда git push выдавала стандартный вывод, например:
@А.Б. Я хочу разрешить git использовать сертификат, который нам дает школа, вместо того, чтобы пытаться использовать сертификат github. Или, если это не сработает, разрешите мне пройти аутентификацию с помощью школьного сертификата
Обратите внимание, что расширения .crt и .cer взаимозаменяемы, просто измените расширение имени файла, они имеют одинаковую форму.
7 ответов 7
TL;DR
Чтобы все работало, а не только ваш браузер, вам необходимо добавить этот сертификат ЦС в доверенный репозиторий ЦС системы.
- Перейдите к /usr/local/share/ca-certificates/
- Создайте новую папку, т.е."школа судо мкдир"
- Скопируйте файл .crt в папку учебного заведения.
- Убедитесь, что права доступа в порядке (755 для папки, 644 для файла)
- Запустите "sudo update-ca-certificates"
Почему
То, что происходит, заключается в том, что ваша школа перехватывает все соединения SSL, вероятно, для того, чтобы отслеживать их.
Чтобы сделать это, то, что они делают, по сути является атакой "человек посередине", и из-за этого ваш браузер справедливо жалуется, что он не может проверить сертификат github. Ваш школьный прокси использует сертификат GitHub и вместо этого предоставляет собственный сертификат.
Когда ваш браузер пытается сверить сертификат, предоставленный учебным заведением, с ЦС, подписавшим сертификат GitHub, он по праву терпит неудачу.
Итак, чтобы соединение SSL работало в школе, вам нужно сознательно принять эту атаку "MITM". И вы делаете это, добавляя сертификат центра сертификации учебного заведения в качестве доверенного.
Если вы доверяете этому учебному центру сертификации, ваша проверка поддельного сертификата github будет работать, поскольку поддельный сертификат github будет проверен учебным центром сертификации.
Имейте в виду, что SSL-соединение больше не является безопасным, так как ваш школьный администратор сможет перехватить все ваши зашифрованные соединения.
В большинстве случаев использование собственного ЦС (центра сертификации) не рекомендуется. Но есть исключения: если вы хотите защитить внутренние службы вашей компании, может потребоваться использование собственного ЦС. Во время работы в ADITO Software GmbH я создал инструмент для управления сертификатами X.509. Корневой сертификат моего инструмента нужно было импортировать на каждый компьютер компании. К сожалению, есть некоторые подводные камни, которых я не ожидал, но после некоторых исследований я понял, как импортировать новый CA на ПК с Linux и Windows, а также во все основные веб-браузеры.
В следующем тексте root.cert.pem — это файл корневого сертификата.
Линукс
Система (Debian/Ubuntu)
Установить корневой сертификат на ПК с Linux очень просто:
После этих действий новый центр сертификации становится известен системным утилитам, таким как curl и get. К сожалению, это не влияет на большинство веб-браузеров, таких как Mozilla Firefox или Google Chrome.
Система (Fedora)
Установка в Fedora Linux немного отличается:
Браузер (Firefox, Chromium, …)
Ручная настройка вашего сертификата также возможна через графический интерфейс, например. в Firefox: «Настройки» => «Конфиденциальность и безопасность» => «Показать сертификаты» => «Центры сертификации» => «Импорт» (Аналогично в Chromium)
Веб-браузеры, такие как Firefox, Chromium, Google Chrome, Vivaldi, и даже клиенты электронной почты, такие как Mozilla Thunderbird, не используют хранилище доверенных сертификатов ОС, а используют собственное хранилище доверенных сертификатов. Эти хранилища доверия представляют собой файлы в пользовательском каталоге с именами «cert8.db» и «cert9.db» (для более новых версий). Вы можете изменить файлы хранилища доверенных сертификатов с помощью инструмента «certutil». Чтобы установить certutil, выполните следующую команду apt:
Этот небольшой вспомогательный скрипт находит базы данных хранилища доверенных сертификатов и импортирует в них новый корневой сертификат.
После выполнения этого скрипта ваш корневой ЦС должен быть известен Firefox, Chrome, Chromium, Vivaldy и другим браузерам.
Окна
Система
Новые корневые сертификаты можно легко импортировать в Windows через Active Directory. Однако, если на ваших компьютерах с Windows не включена служба Active Directory, импортируйте сертификат вручную следующим образом:
Измените расширение имени файла вашего сертификата с .pem на .crt и откройте файл. Затем выберите «Установить сертификат» => «Локальная машина» и просмотрите хранилище сертификатов. Ваш сертификат должен быть установлен в «Доверенные корневые центры сертификации».
В Windows большинство веб-браузеров и других приложений используют хранилище доверенных сертификатов ОС, поэтому Google Chrome и Vivaldi должны мгновенно принимать ваши сертификаты. Однако Firefox нуждается в особом обращении...
Мозилла Фаерфокс
Шаги по установке SSL-сертификата на веб-сервере RedHat Linux
Исходный контрольный список
Перед установкой SSL-сертификата убедитесь, что выполнены следующие процессы
- Купить/обновить SSL-сертификат
- Создать CSR с помощью алгоритма SHA-2
- Сохраните файл CSR и закрытого ключа на своем сервере.
- Подать заявку на выпуск сертификата SSL
- Отправьте документы о выпуске SSL-сертификата в соответствии с требованиями ЦС (только для расширенной проверки и проверки организации)
- Сначала загрузите и извлеките все файлы сертификатов, затем установите промежуточный сертификат ЦС, а затем установите файл сертификата.
Шаг 1. Загрузите и извлеките файлы сертификатов
После завершения процесса оформления заказа и выпуска сертификата вы получите сертификат SSL по электронной почте в виде ZIP-файла. Извлеките этот файл *.zip в каталог вашего сервера, где вы хотите сохранить все файлы сертификатов.
Шаг 2. Установка промежуточного сертификата ЦС
- Откройте файл промежуточного сертификата в любом текстовом редакторе; скопируйте все зашифрованные данные в новый файл и сохраните новый файл с именем crt.
Примечание: файлу промежуточного сертификата можно дать любое имя, но расширение этого файла должно быть .crt.
- Теперь ваш промежуточный сертификат установлен.
Шаг 3. Установите файл SSL-сертификата
Наконец-то SSL-сертификат теперь установлен на RedHat Linux Server.
О лучших возможностях SSL
Сравнить лучшие SSL
Выберите лучший SSL
Руководство по установке SSL
Исправить ошибки SSL
Купоны SSL
Ресурсы и другие руководства по установке
Подробнее о SSL
Лучшие провайдеры SSL 2022
Предложения по SSL
О SSL
Компания AboutSSL была создана с единственной целью — предоставить всем пользователям всеобъемлющую платформу знаний по SSL/TLS. Мы мечтаем, чтобы каждый веб-сайт в Интернете был надежно зашифрован, и мы гордимся тем, что можем внести свой вклад в это грандиозное видение.
Читайте также: