サーバーに証明書をロードする

Question

CAで署名した証明書を持っているので、証明書を各サーバーにロードする必要があります。証明書を使用しているサーバーに接続するときに証明書の警告を受け取らないようにするために配置する必要がある正しい場所はどこですか？

[〜＃〜]編集[〜＃〜]

証明書とキーを使用して8443でSSLを介してブロードキャストするWebサーバーがあります。接続しているサーバーに証明書をインストールして、接続時にCURLまたはwGETを介して証明書エラーが発生しないようにする必要があります。または何か他のもの。

編集2

socket: Bad file descriptor connect:errno=9 no peer certificate available No client certificate CA names sent SSL handshake has read 0 bytes and written 0 bytes New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No ALPN negotiated

ありがとう

Prince Adeyemi · Answer

独自のCA（認証局）に署名した場合、これをインストールする適切な場所は、CRLの構成方法によって異なります。 （証明書失効リスト）

CRLは、接続されたクライアントに、単純なhttp接続を介してCA（サーバー）からの証明書失効リストに関する情報を提供します。すべてのクライアントが接続し、エラーなしで証明書に関する情報を自動的に取得するようにするため、適切な場所はpublic_html /フォルダー http://ca.domain.com/ca.pem http://ca.domain.com/crl.pem

実際にすべてのサーバーに証明書をインストールする必要はありませんが、独自の証明書をとしてホストするには、独自のCAでCAおよびCRLをホストする必要があります。したがって、すべてのクライアントは、CAサーバーに接続することにより、CAによって自動的に発行された証明書に関する情報を取得できます。

使い方！

クライアントは安全な接続をネゴシエートし、CRLを提示して、提示された証明書が取り消されているかアクティブであるかを確認しますか？取り消された場合、エラーが発生します。取り消されない場合、接続は安全に許可されます。

私はそれを想定しています：

証明書をWebサーバーに正しくインストールしました。
エラーなしでWebブラウザーを使用してWebに接続し、テストしました

上記が正しい場合、現在何を使用していますか？ Apache、Nginxその他？

私はWebサーバーに適切な構成を提供することしかできませんが、現在これをインストールしているサーバーと、接続時にエラーが発生しない場合はお知らせください。

Opensslコマンドを使用して、証明書エラーをトラブルシューティングします

openssl s_client -connect yourweb:port -prexit

上記のコマンドの出力は何ですか？

例えば

openssl s_client -connect facebook.com:443 -prexit | less CONNECTED(00000003) --- Certificate chain 0 s:/C=US/ST=California/L=Menlo Park/O=Facebook, Inc./CN=*.facebook.com i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 High Assurance Server CA 1 s:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 High Assurance Server CA i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA --- Server certificate -----BEGIN CERTIFICATE----- MIIH5DCCBsygAwIBAgIQDACZt9eJyfZmJjF+vOp8HDANBgkqhkiG9w0BAQsFADBw MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3 d3cuZGlnaWNlcnQuY29tMS8wLQYDVQQDEyZEaWdpQ2VydCBTSEEyIEhpZ2ggQXNz dXJhbmNlIFNlcnZlciBDQTAeFw0xNjEyMDkwMDAwMDBaFw0xODAxMjUxMjAwMDBa MGkxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlhMRMwEQYDVQQHEwpN ZW5sbyBQYXJrMRcwFQYDVQQKEw5GYWNlYm9vaywgSW5jLjEXMBUGA1UEAwwOKi5m ..... ..... -----END CERTIFICATE----- subject=/C=US/ST=California/L=Menlo Park/O=Facebook, Inc./CN=*.facebook.com issuer=/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 High Assurance Server CA --- No client certificate CA names sent --- SSL handshake has read 3718 bytes and written 421 bytes --- New, TLSv1/SSLv3, Cipher is ECDHE-ECDSA-AES128-GCM-SHA256 Server public key is 256 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-ECDSA-AES128-GCM-SHA256 Session-ID: 2982CFE50313F69D515BA388D61828E3AAD1BC39BF5250CB6EF46E527D844E46 Session-ID-ctx: Master-Key: E3065199482B00183847DB54408736B87164BAAA15E10A22DA0AAD2941252FC2CED1C05D46E33083A1452C11093CF6C7

経験則：

接続できない場合は、server：portをテストして、どこからでも接続することはできません。