ssl-certificate - digicert - instalar certificado ssl xampp
¿Por qué no se puede utilizar un certificado SSL para varias máquinas? (13)
@Kyle Jones: mi pregunta es, ¿por qué no puedo usar el certificado SSL del servidor de control de calidad en mi máquina local?
@autonomatt - Subpregunta: VeriSign y otras compañías le preguntan en cuántos servidores está instalando el certificado SSL en ... hacer que el cliente extraño llame diciendo que su navegador informa de un problema con certificado ...
¿Legalmente? Puede instalar el certificado SSL en más de una computadora, pero es posible que no pueda hacerlo legalmente. La compañía de firma de CA, al igual que Network Solutions, tiene una limitación legal en su compra. Cuando compra un certificado SSL, lo compra para instalarlo solo en una computadora. Debe leer los términos de la CA firmante de la que compró el certificado.
¿Técnicamente? Técnicamente, a excepción de algunos servidores SSL acelerados por hardware, sí, puede copiar la CLAVE y el CRT en cualquier servidor web para brindar una conexión SSL válida. Tenga en cuenta que algunos certificados SSL se envían / proporcionan desde la CA con una cadena de certificados que también debe instalarse en el lado de los servidores. Sin la cadena de certificados instalada, el navegador web del cliente no puede validar el certificado SSL correctamente. Debe verificar si se proporciona una CA Chain con el certificado SSL provisto por la CA firmante.
Requisitos de resolución de propiedad intelectual. Y el certificado SSL está vinculado a un nombre de host. Cuando un navegador web cliente realiza una solicitud a un servidor, se conecta a una dirección IP resuelta desde un nombre de dominio, luego comienza el proceso de intercambio de SSL / TLS. El servidor web que responde a esa dirección IP debe presentar el certificado SSL con un nombre común que el navegador web del cliente solicita a través de la dirección IP. Esto significa que solo se puede configurar un certificado SSL por una dirección IP. El cliente solo envía solicitudes HTTP 1.1 encriptadas, por lo que el servidor no tiene idea de cuál es la solicitud de dominio real del cliente hasta después del protocolo de enlace SSL / TLS.
Resolución IP de no producción. Para instalar en otro lugar, el navegador web debe resolver el nombre de host a la dirección IP correctamente. Por lo tanto, si se encuentra en un entorno que no es de producción, el cliente debe resolver la dirección IP de manera diferente al entorno de producción. Esto se puede realizar con servidores DNS alternativos, o el archivo de hosts locales de todas las máquinas necesitan la resolución DNS alternativa.
Proceso de instalación técnica. Para instalar el certificado SSL en otra máquina, copie KEY, SSL CRT y CA Chain en los archivos apropiados configurados para el servidor web. Si es Apache, todo puede ir en un archivo PEM para el certificado SSL.
Luego, asegúrese de que el servidor web sirva este archivo PEM en la dirección IP que se resuelve para el nombre común en el Certificado SSL.
Certificados SSL comodín. Algunas CA también proporcionan certificados SSL de Willdcard, como * .domain.com. Tenga en cuenta que el navegador web debe reconocer este tipo de certificado, y solo protege un nivel de subdominio. Por lo tanto, se puede proteger www.domain.com, pero www.sub1.domain.com hará que el navegador web del cliente le dé un error de validación al usuario cliente.
Algunas razones por las que los navegadores web de los clientes reciben errores de validación de certificados SSL:
- si la cadena de CA es necesaria pero no es proporcionada por el servidor web.
- Si la CA de firma raíz no es una CA de confianza en las autoridades de SSL del navegador web del cliente, esto siempre se aplica a los certificados SSL autofirmados.
- si el navegador web del cliente solicita un dominio a través de SSL que no coincide con el nombre común del certificado SSL.
- Si el navegador del cliente no puede acceder a los puntos de distribución de CRL x509 de la CA firmante, el cliente en una red restringida o cerrada no podrá validar el certificado SSL. La URL de la CRL se proporciona durante el protocolo de enlace SSL / TLS. Véase también: http://en.wikipedia.org/wiki/Revocation_list#Problems_with_CRLs .
Aquí está la situación. Estoy realizando cambios en una aplicación pero no tengo un entorno de prueba. Hay un servidor de control de calidad que puede usar el equipo de pruebas, pero prefiero probar la aplicación en mi máquina local (la implementación de cambios en ese servidor podría interrumpir a los evaluadores). He configurado el entorno en mi máquina local, pero hay un problema.
La aplicación lee datos de una aplicación de terceros. Necesita un certificado SSL para conectarse a un tercero.
Mi pregunta es, ¿por qué no puedo usar el certificado SSL del servidor QA en mi máquina local?
He realizado una búsqueda rápida en Stack Overflow, y para mí, una vez que el certificado es emitido por la AC, parece que cualquier computadora podría usarlo. Mi conjetura es que he entendido mal alguna parte del proceso SSL.
Bueno, técnicamente, un certificado (exportado desde estas herramientas PKI por ahí) no contendrá clave privada. Entonces, incluso en el entorno de carga equilibrada, la copia simple del certificado no ayudará.
Además, cuando generamos certificados utilizando herramientas PKI, puede proporcionar una cadena arbitraria para el DN (como "CN = xyz, OU = ttr, O = x"). Me pregunto cuál sería el comportamiento si diferentes máquinas usen el mismo DN para crear los certificados.
Depende de lo que quieras decir con esto.
Se puede utilizar un certificado comodín para varios hosts con registros A diferentes.
Por ejemplo, tiene un certificado comodín para el dominio *..com.
Puede tener TLS aprobado por CA siempre y cuando los nuevos servidores que está ejecutando estén usando un subdominio del dominio .com
es decir, mail-server..com
El certificado contiene información: 1) Detalles como el nombre, el dominio, la dirección, la fecha de caducidad de la clave, etc. acerca de la compañía / persona que posee el certificado. 2) Tiene la clave pública. 3) Algunos datos encriptados. Este es el quid.
Estos datos cifrados son toda la información del usuario, así como la clave pública presente en el certificado que ha sido firmado por la clave privada de CA que emitió el certificado.
Cuando el navegador recibe el certificado, trata de quitar la firma de los datos encriptados utilizando la clave pública de CA ya integrada en el navegador. Entonces, si toda la información presente en el certificado coincide después de la firma, entonces se asegura que el propietario de ese dominio mencionado en el certificado tenga la clave privada correspondiente a la clave pública mencionada dentro del certificado.
Entonces, la clave es, si alguien publica (como lo hacen los sitios web) que yo soy el propietario del certificado, eso significa que, la persona / compañía posee el par de claves privadas correspondiente.
ASI QUE VUELVE AL PROBLEMA: El verdadero problema es que "la aplicación lee datos de una aplicación de terceros. Necesita un certificado SSL para conectarse con el tercero".
y para esto están destinados los certificados. Básicamente, su aplicación desea establecer una conexión SSL con la aplicación de terceros, y si tiene el certificado, está todo listo. Entonces, al principio asumo que ha puesto el certificado en el directorio incorrecto para que su aplicación no pueda leerlo y no pueda hacer la conexión ssl con el tercero. O hay algún problema de configuración de archivos.
Sé que esa respuesta no sirve, pero pensé mejor en escribir lo que siento.
En estas situaciones, el tercero generalmente hará una de dos cosas. Proporcionarle acceso a una caja de arena de control de calidad que no requiere un certificado. o permitirle hacer un certificado temporal que aceptan que no está validado por una autoridad de certificación. Sería extraño que un proveedor de servicios web de terceros no prevea la necesidad de tener un control de calidad y un producto diferentes. ambientes.
Entiendo que mi respuesta para esta pregunta es demasiado tarde en el hilo ... pero me encontré con el mismo problema hoy al instalar el mismo certificado en 2 servidores en una configuración de Load Balancer, OS = Windows 2008 / IIS 7.5 y pude averiguar la solución.
Pude instalarlo en el primer servidor haciendo clic en "Completar solicitud de certificado" y navegar a la ubicación donde se encuentra el certificado ''abc.cer'' (Supongamos que ya tiene el certificado). Luego copié el mismo ''abc.cer'' en el segundo servidor e intenté ''Completar solicitud de certificado'' y no funcionó. El certificado aparecerá como instalado pero desaparecerá tan pronto como actualice el Administrador de IIS. Luego probé la opción de "exportar" el certificado del primer servidor (genera un archivo de extensión .pfx) y luego lo importé en el segundo servidor. Este método funcionó.
Esto es definitivamente posible, ¿de qué otra manera funcionarían los servidores en una granja de servidores web? Todos los servidores en una granja de servidores web tienen el mismo certificado instalado.
No tengo experiencia en Apache pero para IIS el proceso se documenta aquí http://support.microsoft.com/kb/313299
Los certificados SSL están vinculados a un nombre de host. Entonces, para poder usarlo en su máquina dev, debe hacer que el nombre del host se resuelva en su máquina dev (es decir, usando el archivo hosts)
Por lo general, durante el protocolo de enlace SSL, el nombre de host que forma parte del certificado coincide con el nombre de host del otro lado de una conexión SSL. Es por eso que un certificado está vinculado a un nombre de host.
Hay varias maneras de salir de esto.
- Utilice un certificado de comodín.
- Deshabilite la verificación del nombre de host y acepte el mayor riesgo.
- Personaliza la verificación del nombre de host.
Consulte http://support.godaddy.com/help/article/567/what-is-a-wildcard-ssl-certificate y http://docs.oracle.com/javase/7/docs/api/javax/net/ssl/HostnameVerifier.html
Sé que este es un post más antiguo y puede que me esté perdiendo algo, pero parece que todos se perdieron la verdadera respuesta aquí. Si desea tener un solo certificado que funcione en varios servidores utilizando múltiples nombres de host / dominios, entonces solo tiene que comprar un certificado SAN. Lo hacemos todo el tiempo en el trabajo ...
Supongo que lo que describe es realizar la autenticación de cliente SSL a un tercero remoto. Que su producto inició la conexión a terceros como cliente y el tercero decide si su certificado es lo suficientemente bueno para la conexión.
Un certificado es esencialmente tres cosas:
- Una clave privada, que solo debe poseer la entidad representada por el certificado
- Una clave pública - una clave que se comparte con el mundo
- La información del certificado que incluye la clave pública, así como los datos legibles que identifican al titular de la clave, está firmada criptográficamente por el emisor del certificado.
Entonces ... es un poco más que una contraseña, pero al final son todos los datos.
La respuesta a si puede instalar un certificado de cliente SSL en varias ubicaciones es sí y no. Principalmente, depende de los requisitos de seguridad del sistema de terceros y también de cómo haya almacenado esa clave privada.
Es posible almacenar un par de claves privadas / públicas y un certificado en un archivo, un estándar para esto es el PKCS # 12 . Los PKCS12s usualmente se aseguran con una contraseña. Muchas herramientas de software le permitirán crear el par de claves, almacenarlo en un PKCS12 y realizar los distintos protocolos de certificado necesarios para solicitar y finalizar la emisión del certificado de un tercero (sospecho que su tercero requiere que su certificado esté firmado por uno de una lista de emisores de confianza). Cada servidor de aplicaciones que he visto le permite configurar el archivo de certificado como su certificado del lado del cliente.
Si así es como se almacena el Certificado de QA SSL, entonces no debería haber un problema al instalarlo en su máquina.
Aquí está el problema: a veces la política de seguridad exige que los certificados se almacenen en un token de hardware. Esto suele ser una medida de seguridad para garantizar que solo una entidad pueda usar el certificado. Copiar archivos de certificado de software funciona bien en un entorno de prueba, pero es una práctica de seguridad bastante deficiente para una instalación de producto que funcione. Si el servidor de control de calidad está utilizando un token de hardware, es probable que el hardware proteja la copia del par de claves privadas en otra ubicación. Sin acceso al par de claves privadas, no podrá realizar la solicitud de SSL al tercero: la demostración del acceso a la clave privada es parte del protocolo.
En ese caso, deberá solicitar su propio certificado y par de claves para acceder al tercero, a menos que su compañía ofrezca un mecanismo para compartir tokens de hardware. Eso no es del todo loco; algunas granjas de servidores lo hacen: todos los servidores tienen la configuración para conectarse a un HSM (módulo de seguridad de hardware) en red común y usar el par de claves. Esto suele ser cierto para los certificados de sitio SSL, por lo que todos los servidores de la colección pueden parecer el mismo servidor. El truco es que ese tipo de hardware es bastante alto. Si está realizando algunas pruebas rápidas y sucias, creo que es poco probable que tenga acceso a ese tipo de sistema.
Le preguntaría acerca de los certificados de software y si es viable para usted tener una copia. Puede haber razones políticas que lo prohíban ... pero no es difícil instalarlos, y si solo estás haciendo algunas pruebas, realmente no estás arriesgando nada.
Creo que necesita desarrollar un poco más su entorno, pero tal vez no haya copiado la parte de clave privada del certificado en su máquina local. Tanto la clave privada como la pública son necesarias para utilizar el certificado. Supongo que ya que escribe "lectura de un tercero" que está utilizando un certificado de cliente.
El certificado SSL está vinculado al nombre de host real. Si tiene un certificado SSL para "qa.example.com", no funcionará en su máquina llamada "dev.example.com".
Quizás ese es el problema que estás teniendo.