Wie vertrauen Sie einem selbstsignierten Zertifikat, ohne der Zertifizierungsstelle zu vertrauen?

871
SeMeKh

Ich habe also ein rootCA erstellt und ein Zertifikat für * .a.com unterzeichnet. Wie kann ich dem resultierenden Zertifikat in Firefox / Chrome vertrauen, ohne der Zertifizierungsstelle direkt zu vertrauen?

Beachten Sie, dass das Hinzufügen einer Ausnahme (einmalig) in diesem Fall nicht ausreicht, da mehrere Domänen vorhanden sind.

1

2 Antworten auf die Frage

0
mtak

Da das Zertifikat nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wird, wird der Fehler für jede Domäne angezeigt, für die das Platzhalterzertifikat gilt. Firefox speichert Zertifikatausnahmen mit der Domäne als Schlüssel und nicht mit dem Zertifikat. Daher werden Sie aufgefordert, für jede Domäne eine Ausnahme zu machen (auch mit einem Platzhalterzertifikat).

Wenn Sie der Zertifizierungsstelle nicht direkt vertrauen möchten, können Sie den Inhaber der Zertifizierungsstelle bitten, ein Zwischenzertifizierungsstellenzertifikat für Sie zu erstellen, mit dem Sie Zertifikate ausstellen können. Sie können die Zwischenzertifizierungsstelle dann in Ihrem Browser hinzufügen. (oder Sie könnten einfach eine neue Zertifizierungsstelle erstellen)

Hat das deine Frage beantwortet? mtak vor 9 Jahren 0
0
SeMeKh

There are two possible approaches:

  1. Explicitly add the certificate to the browser certificate manager. Since Chrome and Firefox use NSS as their SSL library, this could be done using the following command (for Chrome):

    certutil -d sql:$HOME/.pki/nssdb -A -t "P,," -n SomeCertificateName -i /path/to/certificate

  2. Issue a subCA certificate limited by the nameConstraint extension, so that the subCA can only issue certificates with a.com suffix. Now trust this subCA only. This article explains this approach.

Verwandte Probleme