ठीक उन्नत एसएसएल लड़कियों और लड़कों - मैं दो दिन की अवधि के बाद यह करने के लिए एक इनाम के रूप में जोड़ने होंगे मुझे लगता है कि यह एक जटिल विषय है कि जो कोई सोच समझकर के लिए एक पुरस्कार के हकदार है जवाब।उन्नत एसएसएल: माध्यमिक प्रमाणन प्राधिकारी और तैनाती एम्बेडेड बक्से
मान्यताओं यहाँ से कुछ बस हैं कि: मान्यताओं, या अधिक सटीक उम्मीद अनुमान। इस मस्तिष्क-टीज़र पर विचार करें, बस यह कहें कि 'यह संभव नहीं है' बिंदु गुम है।
वैकल्पिक और आंशिक समाधान स्वागत, व्यक्तिगत अगर आप कुछ 'समान' किया है अनुभव कर रहे हैं। मैं इससे कुछ सीखना चाहता हूं भले ही मेरी पूरी योजना खराब हो।
यहाँ परिदृश्य है:
मैं एक एम्बेडेड Linux सिस्टम पर विकासशील कर रहा हूँ और इसके वेब सर्वर आउट-ऑफ-द-बॉक्स, कोई परेशानी एसएसएल सेवा करने के लिए सक्षम होना चाहते हैं। यहाँ डिजाइन मानदंडों मैं के लिए लक्ष्य कर रहा हूँ है:
अमीर:
- मैं उपयोगकर्ता अपने ब्राउज़र के लिए अपने देसी CA प्रमाणपत्र जोड़ने
- मैं उपयोगकर्ता नहीं हो सकता है नहीं हो सकता अपने ब्राउज़र
- करने के लिए एक स्थिर उत्पन्न (MFG समय) स्व-हस्ताक्षरित प्रमाणपत्र जोड़ने मैं उपयोगकर्ता अपने ब्राउज़र के लिए एक गतिशील रूप से उत्पन्न (बूट समय पर) स्व-हस्ताक्षरित प्रमाणपत्र जोड़ने नहीं हो सकता।
- मैं HTTP पर डिफ़ॉल्ट नहीं हो सकता और SSL के लिए सक्षम/अक्षम टॉगल कर सकता हूं। यह एसएसएल होना चाहिए।
- दोनों एम्बेडेड बॉक्स और वेब ब्राउज़र ग्राहक या इंटरनेट का उपयोग नहीं कर सकते हैं तो इंटरनेट एक्सेस के बिना सही ढंग से कार्य ग्रहण किया जाना चाहिए सकता है। एकमात्र रूट सीए जिन पर हम भरोसा कर सकते हैं वे ऑपरेटिंग सिस्टम या ब्राउज़र के साथ भेजे जाते हैं। आइए दिखाएं कि यह सूची 'मूल रूप से' ब्राउज़र और ऑपरेटिंग सिस्टम पर समान है - यानी अगर हम उन पर भरोसा करते हैं तो हमारे पास ~ 90% सफलता दर होगी।
- मैं एक फ्लाई-बाई-रात आपरेशन उदाहरण के लिए 'फास्ट एडी के SSL प्रमाणपत्र क्लियरिंग हाउस का उपयोग नहीं कर सकते हैं - कीमतें इस कम हमारे सर्वर को हैक कर लिया जाना चाहिए के साथ! '
अमीर अच्छा लगा:
- मैं उपयोगकर्ता नहीं करना चाहती चेतावनी दी कि प्रमाण पत्र का होस्ट ब्राउज़र में होस्ट नाम से मेल नहीं खाता। मैं इसे एक अच्छा मानता हूं क्योंकि यह असंभव हो सकता है।
मत हैं:
- मैं प्रत्येक बॉक्स के लिए स्थिर चाबियों का एक ही सेट जहाज के लिए नहीं करना चाहती। 'नहीं' सूची द्वारा निहित की तरह, लेकिन मुझे जोखिम पता है।
हां हां, मुझे पता है ..
- मैं कर सकते हैं और अपने स्वयं के प्रमाणपत्र/कुंजी अपलोड करने के लिए उपयोगकर्ता के लिए एक तंत्र प्रदान करते हैं, लेकिन मैं इस 'उन्नत स्वरूप' पर विचार करने और क्षेत्र से बाहर इस सवाल का। यदि उपयोगकर्ता अपने स्वयं के आंतरिक सीए या खरीद कुंजी रखने के लिए पर्याप्त उन्नत है तो वे बहुत ही अच्छे हैं और मैं उन्हें प्यार करता हूं।
कैप समय में सोच रही थी
SSL के साथ मेरा अनुभव प्रमाणपत्र/कुंजी पैदा कर दिया गया है 'असली' जड़ है, साथ ही मेरी खेल अप कदम से अनुबंध करने वाले अपने ही आंतरिक सीए बनाने के साथ एक छोटा सा , आंतरिक रूप से 'स्वयं हस्ताक्षरित' certs वितरित। मुझे पता है कि आप प्रमाणपत्र प्रमाण पत्र कर सकते हैं, लेकिन मुझे यकीन नहीं है कि संचालन का आदेश क्या है। यानी क्या ब्राउजर 'चलना' श्रृंखला को वैध रूट सीए देखता है और उसे वैध प्रमाण पत्र के रूप में देखता है - या क्या आपको हर स्तर पर सत्यापन करने की आवश्यकता है?
मैं intermediate certificate authority के विवरण में भाग गया जो मुझे संभावित समाधानों के बारे में सोचने लगा। मैं 'बुरा सपना मोड' करने के लिए 'सरल समाधान' से चले गए हैं, लेकिन यह संभव हो जाएगा:
पागल आइडिया # 1
- एक मध्यवर्ती प्रमाणपत्र प्राधिकारी प्रमाणपत्र द्वारा एक 'असली हस्ताक्षर किए जाओ ' सीए। (आईसीए-1)
- ROOT_CA -> आईसीए-1
- यह प्रमाणपत्र निर्माण समय में इस्तेमाल किया जाएगा प्रति बॉक्स एक अद्वितीय passwordless उप मध्यवर्ती प्रमाणपत्र प्राधिकार जोड़ी उत्पन्न करने के लिए।
- आईसीए-1 -> आईसीए-2
- उपयोग आईसीए-2 एक अनूठा सर्वर प्रमाणपत्र/कुंजी उत्पन्न करने के। यहां चेतावनी है, क्या आप आईपी के लिए एक कुंजी/जोड़ी उत्पन्न कर सकते हैं (और DNS नाम नहीं?)? यानी इसके लिए एक संभावित उपयोग-मामला उपयोगकर्ता प्रारंभ में http के माध्यम से बॉक्स से कनेक्ट होता है, और फिर क्लाइंट को रीडायरेक्ट यूआरएल में आईपी का उपयोग करके एसएसएल सेवा में रीडायरेक्ट करता है (ताकि ब्राउज़र मेल नहीं खाएगा)। यह वह कार्ड हो सकता है जो घर को नीचे लाता है। चूंकि किसी भी रीडायरेक्ट होने से पहले एसएसएल कनेक्शन स्थापित किया जाना है, इसलिए मैं देख सकता हूं कि यह भी एक समस्या है। लेकिन, अगर यह सब जादुई रूप से
- काम कर सकता है तो क्या मैं आईसीए -2 का उपयोग कर सकता हूं ताकि बॉक्स में आईपी में किसी भी समय नए प्रमाणपत्र/कुंजी जोड़े उत्पन्न हो सकें ताकि जब वेब सर्वर बैक अप आता है तो उसे हमेशा 'वैध' कुंजी श्रृंखला मिलती है।
- आईसीए-2 -> सपा-1
ठीक है, तुम तो स्मार्ट
सबसे अधिक संभावना है, मेरे जटिल समाधान काम नहीं करेगा कर रहे हैं - लेकिन यह हो जाएगा अच्छा अगर यह किया। क्या आपको एक ही समस्या है? तुमने क्या किया व्यापार बंद क्या थे?
क्या आप अभी भी उपयोगकर्ता के ब्राउज़र में निजी रूट सीए या सर्वर स्वयं हस्ताक्षरित प्रमाणपत्र अपलोड करने के लिए सादा HTTP का उपयोग कर सकते हैं? यह सर्वर स्थापना समय पर "एक-क्लिक" (ठीक है, एक नहीं बल्कि बहुत आसान) प्रक्रिया के रूप में किया जा सकता है। क्या "कोई HTTP नहीं, कोई प्रमाण स्थापित नहीं है" वास्तव में होना चाहिए? – blaze
दुर्भाग्यवश 'जरूरी है' एक स्व-हस्ताक्षरित प्रमाण के साथ क्लिक-थ्रू करने के वर्तमान समाधान के बारे में नकारात्मक प्रतिक्रियाओं पर आधारित हैं। लेकिन हमारे कुछ ग्राहक वकालत करने वालों के साथ बोलने के बाद यह स्पष्ट रूप से ग्राहक के कुत्ते की शूटिंग के रूप में बुरा है। यह गधे में दर्द है, और स्वयं हस्ताक्षरित चेतावनी के बारे में फ़ायरफ़ॉक्स के बढ़ते क्रैकी-बूढ़े व्यक्ति के दृष्टिकोण से मदद नहीं करता है। थोड़ी सी चीजें जो मुझे सितारों के लिए शूटिंग कर रही हैं, वहां एक बेहतर तरीका होना चाहिए। auth_digest इसे हल नहीं करता है, एसआरपी-टीएलएस कुछ पहलुओं के करीब आता है लेकिन समर्थन के संबंध में यह अभी भी खून बह रहा है। – synthesizerpatel