23 votos

Puede certificado SSL auto-firmado renovarse? Cómo?

Soy bastante nuevo en los certificados SSL y quisiera saber si un certificado auto-firmado que yo uso para HTTPS puede ser renovado para extender su fecha de vencimiento, sin todos los clientes del sitio tener que ir a través de la opción "permitir excepción" proceso que tienen que hacer cuando visitan el sitio por primera vez o, como cuando se emita un nuevo certificado autofirmado creado a partir de cero.

He encontrado el siguiente tutorial muestra cómo renovar un certificado autofirmado usando openssl pero yo no era capaz de usar que mi navegador silenciosamente acepta sin mostrar que "el Sitio no es de Confianza" pantalla de advertencia:

  # cd /etc/apache2/ssl
  # openssl genrsa -out togaware.com.key 1024
  # chmod 600 togaware.com.key
  # openssl req -new -key togaware.com.key -out togaware.com.csr
    AU
    ACT
    Canberra
    Togaware
    Data Mining
    Kayon Toga
    Kayon.Toga@togaware.com
    (no challenge password)
  # openssl x509 -req -days 365 -in togaware.com.csr \
            -signkey togaware.com.key -out togaware.com.crt
  # mv apache.pem apache.pem.old
  # cp togaware.com.key apache.pem 
  # cat togaware.com.crt >> apache.pem 
  # chmod 600 apache.pem
  # wajig restart apache2

Mi configuración es bastante parecido a como se describe en esta respuesta y estoy usando la CRT y la CLAVE de los archivos (de este tutorial) en lugar de un archivo PEM, así que tal vez me equivocaba algo tratando de aplicarlo a mi caso.

Entonces de nuevo, he encontrado muchos en el foro de entradas lo que sugiere que es completamente imposible para la renovación de un certificado autofirmado y tengo que crear una nueva desde cero.

Cualquier ayuda se agradece... o esta pregunta mejor se adapte a http://serverfault.com/ o http://superuser.com/ ?

26voto

Tom Leek Puntos 446

Por definición, un certificado auto-firmado se puede confiar sólo a través de la confianza directa, es decir, lo que los navegadores Web como Firefox como el "permitir a excepción del" proceso". Uno muy específico certificado, hasta el último bit, es declarado como "de confianza". Nada puede ser cambiado en un certificado sin necesidad de salir de este modelo, y, en particular, la fecha de caducidad, que es parte de los datos contenidos en el certificado.

Usted puede imaginar la renovación como una especie de cosa de la familia: cuando un certificado es "renovado", en realidad, es reemplazado por un hermano menor. Los clientes aceptan el nuevo certificado en silencio, ya que comparte la misma ascendencia en el certificado anterior. Los certificados auto-firmados son intrínsecas a los huérfanos y no tienen ascendencia. Por lo tanto, no hermano, y no de la transmisión automática.

(Aparte de esta ascendencia cosa, la renovación es la creación de un nuevo certificado. Los certificados son inmutables. "Renovación" es una manera de pensar acerca de la relación entre la vieja y la nueva certificados).

Si usted quiere ser capaz de hacer silencio renovaciones, entonces usted necesita un auto-firmado CA certificado. Se emiten certificados para el servidor(s) desde que el CA, y pregunte a sus clientes la confianza de que el CA. Por supuesto, esto es pedir mucho: una entidad emisora de certificados de confianza es una CA en la que se puede fingir todo el Internet en sus ojos. Básicamente, esta solución es acerca de la creación y el mantenimiento de su propia entidad, que es una responsabilidad y un poco de trabajo.


La próxima vez que usted produce un certificado auto-firmado, hacen que sea de larga duración. Certificados caducan en su mayoría con el fin de hacer de revocación de trabajo (certificado de caducidad impide CRL de crecer indefinidamente). Para un certificado auto-firmado, no hay revocación, así que usted puede hacer el certificado de validez de 20 años. O de más de 2000 años, para que la materia (aunque el Año 2038 Problema podría aparecer en algún momento, dependiendo del software de cliente).

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: