CAで署名した証明書を持っているので、証明書を各サーバーにロードする必要があります。証明書を使用しているサーバーに接続するときに証明書の警告を受け取らないようにするために配置する必要がある正しい場所はどこですか?
[〜#〜]編集[〜#〜]
証明書とキーを使用して8443でSSLを介してブロードキャストするWebサーバーがあります。接続しているサーバーに証明書をインストールして、接続時にCURLまたはwGETを介して証明書エラーが発生しないようにする必要があります。または何か他のもの。
編集2
socket: Bad file descriptor
connect:errno=9
no peer certificate available
No client certificate CA names sent
SSL handshake has read 0 bytes and written 0 bytes
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
ありがとう
独自のCA(認証局)に署名した場合、これをインストールする適切な場所は、CRLの構成方法によって異なります。 (証明書失効リスト)
CRLは、接続されたクライアントに、単純なhttp接続を介してCA(サーバー)からの証明書失効リストに関する情報を提供します。すべてのクライアントが接続し、エラーなしで証明書に関する情報を自動的に取得するようにするため、適切な場所はpublic_html /フォルダー http://ca.domain.com/ca.pemhttp://ca.domain.com/crl.pem
実際にすべてのサーバーに証明書をインストールする必要はありませんが、独自の証明書をとしてホストするには、独自のCAでCAおよびCRLをホストする必要があります。したがって、すべてのクライアントは、CAサーバーに接続することにより、CAによって自動的に発行された証明書に関する情報を取得できます。
クライアントは安全な接続をネゴシエートし、CRLを提示して、提示された証明書が取り消されているかアクティブであるかを確認しますか?取り消された場合、エラーが発生します。取り消されない場合、接続は安全に許可されます。
私はそれを想定しています:
上記が正しい場合、現在何を使用していますか? Apache、Nginxその他?
私はWebサーバーに適切な構成を提供することしかできませんが、現在これをインストールしているサーバーと、接続時にエラーが発生しない場合はお知らせください。
Opensslコマンドを使用して、証明書エラーをトラブルシューティングします
openssl s_client -connect yourweb:port -prexit
上記のコマンドの出力は何ですか?
openssl s_client -connect facebook.com:443 -prexit | less
CONNECTED(00000003)
---
Certificate chain
0 s:/C=US/ST=California/L=Menlo Park/O=Facebook, Inc./CN=*.facebook.com
i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 High Assurance Server CA
1 s:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 High Assurance Server CA
i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIH5DCCBsygAwIBAgIQDACZt9eJyfZmJjF+vOp8HDANBgkqhkiG9w0BAQsFADBw
MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3
d3cuZGlnaWNlcnQuY29tMS8wLQYDVQQDEyZEaWdpQ2VydCBTSEEyIEhpZ2ggQXNz
dXJhbmNlIFNlcnZlciBDQTAeFw0xNjEyMDkwMDAwMDBaFw0xODAxMjUxMjAwMDBa
MGkxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlhMRMwEQYDVQQHEwpN
ZW5sbyBQYXJrMRcwFQYDVQQKEw5GYWNlYm9vaywgSW5jLjEXMBUGA1UEAwwOKi5m
.....
.....
-----END CERTIFICATE-----
subject=/C=US/ST=California/L=Menlo Park/O=Facebook, Inc./CN=*.facebook.com
issuer=/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 High Assurance Server CA
---
No client certificate CA names sent
---
SSL handshake has read 3718 bytes and written 421 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-ECDSA-AES128-GCM-SHA256
Server public key is 256 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-ECDSA-AES128-GCM-SHA256
Session-ID: 2982CFE50313F69D515BA388D61828E3AAD1BC39BF5250CB6EF46E527D844E46
Session-ID-ctx:
Master-Key: E3065199482B00183847DB54408736B87164BAAA15E10A22DA0AAD2941252FC2CED1C05D46E33083A1452C11093CF6C7
接続できない場合は、server:portをテストして、どこからでも接続することはできません。