Vraag Wat zijn .crt- en .key-bestanden en hoe deze te genereren?


Ik heb de volgende configuratie:

SSLEngine on
SSLCertificateFile /etc/httpd/conf/login.domain.com.crt
SSLCertificateKeyFile /etc/httpd/conf/login.domain.com.key
SSLCipherSuite ALL:-ADH:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP

maar ik weet niet hoe ik moet genereren .crt en .key bestanden.


46
2018-01-19 09:59


oorsprong




antwoorden:


crt en sleutelbestanden vertegenwoordigen beide delen van een certificaat, waarbij sleutel de persoonlijke sleutel tot het certificaat is en crt het ondertekende certificaat is.

Het is slechts een van de manieren om certificaten te genereren, een andere manier is om zowel een pem-bestand als een ander in een p12-container te hebben.

U kunt deze bestanden op verschillende manieren genereren. Als u zelf het certificaat wilt ondertekenen, kunt u deze opdrachten gewoon uitvoeren

openssl genrsa 1024 > host.key
chmod 400 host.key
openssl req -new -x509 -nodes -sha1 -days 365 -key host.key -out host.cert

Let op: met zelfondertekende certificaten zal uw browser u waarschuwen dat het certificaat niet "vertrouwd" is omdat het niet is ondertekend door een certificeringsinstantie die zich in de vertrouwenslijst van uw browser bevindt.

Vanaf dat moment kunt u uw eigen keten van vertrouwen genereren door uw CA te maken of een certificaat te kopen van een bedrijf als Verisign of Thawte.


48
2018-01-19 10:10



na het draaien van "openssl genrsa 1024> host.key" Ik kreeg dit in terminal: "e is 65537 (0x10001)" is het een fout? - Mohammad Ali Akbari
Ja, dit betekent dat openssl het willekeurige seed niet kan schrijven naar het standaardbestand dat het gebruikt en dat wordt gedefinieerd door openssl.cnf, standaard is dit bestand in CentOS / RHEL in /etc/pki/tls/openssl.cnf. Probeer in dit geval dezelfde opdrachten uit te voeren als root en kijk hoe het werkt. - lynxman
Ik probeer het als root, maar ik kreeg "e is 65537 (0x10001)" opnieuw - Mohammad Ali Akbari
Heeft u SELinux geactiveerd op uw machine? Vink / var / log / messages aan om te zien waarom openssl het bestand niet kan schrijven - lynxman
letsencrypt.org is een gratis ssl-provider. Neem een ​​kijkje op het in plaats van veel geld te betalen aan die bedrijven. - Kaan


Dit zijn de openbare (.crt) en private (.key) delen van een SSL-certificaat. Zien deze vraag voor een overvloed aan relevante informatie, b.v. als je zelf een certificaat wilt genereren, of er een wilt kopen.


6
2018-01-19 10:09



Basisvraag, maar - ik neem aan dat ik het .key-bestand moet kopiëren naar mijn ~/.ssh map, wanneer ik mijn CSR-bestand upload naar mijn ssl-provider? - Qasim
@Qasim SSL-bestanden hebben niets te maken met SSH (dat is wat de .ssh-map is). - mad_vs