Gebruikershulpmiddelen

Site-hulpmiddelen

Spoor: gpg_key_resign
werkinstructies:ssl_tls

Verschillen

Dit geeft de verschillen weer tussen de geselecteerde revisie en de huidige revisie van de pagina.

Link naar deze vergelijking

Beide kanten vorige revisie Vorige revisie
Volgende revisie 		Vorige revisie
werkinstructies:ssl_tls [2016/03/14 22:43]
abel [trusted certificates] 		werkinstructies:ssl_tls [2017/05/12 10:56] (huidige)
abel [Op Linux]
Regel 84: Regel 84:
 Het CA certificaat vindt je in ''/etc/pki/CA/cacert.pem'' Het CA certificaat vindt je in ''/etc/pki/CA/cacert.pem''
  
-==== trusted certificates ==== +om twee keer eenzelfde certificaat te kunnen signen doe: ''vi /etc/pki/CA/index.txt.attr'' 
-=== op Windows ===+en verander ''unique_subject = yes'' in ''unique_subject = no'' 
 + 
 +===== trusted  CA certificaten toevoegen ===== 
 +==== op Windows ====
  
 Om zonder uitzonderingen per gebruikte webserver aan te maken in browsers en andere software is het belangrijk je eigen CA certificaat toe te voegen aan de vertrouwde certificaat authoriteiten op je werkplek. Om zonder uitzonderingen per gebruikte webserver aan te maken in browsers en andere software is het belangrijk je eigen CA certificaat toe te voegen aan de vertrouwde certificaat authoriteiten op je werkplek.
Regel 100: Regel 103:
 Kies //Vertrouwde basiscertificeringsinstanties// en druk in het vorige venster waar we in terug zijn op ''Volgende'' en ''Voltooien'' Kies //Vertrouwde basiscertificeringsinstanties// en druk in het vorige venster waar we in terug zijn op ''Volgende'' en ''Voltooien''
  
-=== Op Linux ===+==== Op Linux ==== 
 +=== Fedora sinds versie 19 & RHEL/CentOS 7 ===
  
 +Kopieer je CA certificaat in PEM formaat naar ''/etc/pki/ca-trust/source/anchors/''
 +
 +Of, als je certificaat in OpenSSL’s extended //BEGIN TRUSTED CERTIFICATE// formaat is, zet je het in ''/etc/pki/ca-trust/source''
 +
 +En run ''update-ca-trust''
 +
 +op RHEL 6 moet je de mogelijkheid tot toevoegen aanzetten door: ''update-ca-trust enable''
 +
 +=== Ubuntu & Debian ===
 +
 +zet je ca certificaat in de trusted CA directory:\\
 +''cp cacert.pem /usr/local/share/ca-certificates/cacert-cind.pem''
 +
 +Update de CA store:\\
 +''update-ca-certificates''
 +
 +Verwijderen gaat precies omgekeerd; rm het certificaat en run:\\
 +''update-ca-certificates %%--fresh%%''
  
  
Regel 116: Regel 138:
   * Op de betreffende server door:   * Op de betreffende server door:
  
-'' openssl req -nodes -days 1000 -newkey rsa:2048 -keyout [FQDN].key -out [FQDN].csr''+''openssl req -nodes -days 1000 -newkey rsa:2048 -keyout [FQDN].key -sha256 -out [FQDN].csr''
  
 Met dit commando wordt zowel het signing request als de server key aangemaakt. Met dit commando wordt zowel het signing request als de server key aangemaakt.
Regel 126: Regel 148:
 Bij servers waar je geen locale ssl software tot je beschikking hebt en sommige devices zul je de certificaten en keys op de CA server moeten maken. In dat geval moet je ook de serverkey naar de server transporteren. Bij servers waar je geen locale ssl software tot je beschikking hebt en sommige devices zul je de certificaten en keys op de CA server moeten maken. In dat geval moet je ook de serverkey naar de server transporteren.
  
-'' openssl req -nodes -days 1000 -newkey rsa:2048 -keyout [FQDN].key -out [FQDN].csr''+Ga naar de directory waar alle certificaten gesigned door deze CA zijn opgeslagen: '' cd /etc/pki/CA/certs/'' 
 + 
 +en maak een key en CSR aan: 
 + 
 +''openssl req -nodes -days 1000 -newkey rsa:2048 -keyout [FQDN].key -sha256 -out [FQDN].csr''
  
 Met dit commando wordt zowel het signing request als de server key aangemaakt. Met dit commando wordt zowel het signing request als de server key aangemaakt.
  
-Het programma vraagt je om enkele gegevens, waarvan de belangrijste de ''“Common Name”'' is. Vul hier je FQDN van de server waar je een certificaat voor maakt in, **LET GOED OP!** de default waarden kunnen verkeerd staan.+Het programma vraagt je om enkele gegevens, waarvan de belangrijste de ''“Common Name”'' is. Vul hier je FQDN van de server waar je een certificaat voor maakt in,  
 + 
 +<note important>**LET GOED OP!** de default waarden kunnen verkeerd staan.</note>
 ===== X.509 Certificaten signen ===== ===== X.509 Certificaten signen =====
  
 Haal het request over naar de CA server. Overigens, het request is niets anders dan de public key ingepakt in een certificaat die alleen de signing mist. Haal het request over naar de CA server. Overigens, het request is niets anders dan de public key ingepakt in een certificaat die alleen de signing mist.
  
-sign het requestbijvoorbeeld die van de LDAP server:+sign het request
 + 
 +''openssl ca -days 3650 -extensions v3_req -out [FQDN].crt -keyfile /etc/pki/CA/private/cakey.pem -cert /etc/pki/CA/cacert.pem -policy policy_anything -infiles [FQDN].csr'' 
 + 
 +bijvoorbeeld die van de LDAP server:
  
-''openssl ca -days 3650 -out LDAPcert.pem -keyfile /etc/pki/CA/private/cakey.pem -cert /etc/pki/CA/cacert.pem -policy policy_anything -infiles LDAPreq.pem''+''openssl ca -days 3650 -extensions v3_req -out LDAPcert.pem -keyfile /etc/pki/CA/private/cakey.pem -cert /etc/pki/CA/cacert.pem -policy policy_anything -infiles LDAPreq.pem''
  
 <code> <code>
Regel 193: Regel 225:
  
 [[http://wiki.cacert.org/HowTo/InstallCAcertRoots]] [[http://wiki.cacert.org/HowTo/InstallCAcertRoots]]
 +
 +[[http://kb.kerio.com/product/kerio-connect/server-configuration/ssl-certificates/adding-trusted-root-certificates-to-the-server-1605.html]]
 +
 +[[http://www.vstrong.info/2013/03/19/how-to-create-server-certificate-and-include-dns-alias/]]
 +
 +[[https://www.happyassassin.net/2015/01/14/trusting-additional-cas-in-fedora-rhel-centos-dont-append-to-etcpkitlscertsca-bundle-crt-or-etcpkitlscert-pem/]]
werkinstructies/ssl_tls.1457991806.txt.gz · Laatst gewijzigd: 2016/03/14 22:43 door abel

Paginahulpmiddelen

Tenzij anders vermeld valt de inhoud van deze wiki onder de volgende licentie: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki