YOMEDIA
Tạo SSL CA riêng với OS X Keychain
Chia sẻ: Cong Thanh
| Ngày:
| Loại File: PDF
| Số trang:5
97
lượt xem
5
download
Download
Vui lòng tải xuống để xem tài liệu đầy đủ
Tạo SSL CA riêng với OS X Keychain
Trong bài này chúng tôi sẽ giới thiệu cho các bạn cách sử dụng Certificate Assistant có trong Mac OS X để tạo một CA của riêng bạn với sự trợ giúp của OS X Keychain Assistant. Trong một bài gầy đây, chúng tôi đã giới thiệu cho các bạn cách import các chứng chỉ SSL CA vào OS X keychain để dễ dàng tin cậy các chứng chỉ SSL cho các dịch vụ không được ký bởi các CA lớn giống như VeriSign, Equifax hay các tổ chức thẩm định khác. Mặc...
AMBIENT/
Chủ đề:
Nội dung Text: Tạo SSL CA riêng với OS X Keychain
- Tạo SSL CA riêng với OS X Keychain
Trong bài này chúng tôi sẽ giới thiệu cho các bạn cách sử dụng
Certificate Assistant có trong Mac OS X để tạo một CA của
riêng bạn với sự trợ giúp của OS X Keychain Assistant.
Trong một bài gầy đây, chúng tôi đã giới thiệu cho các bạn cách
import các chứng chỉ SSL CA vào OS X keychain để dễ dàng
tin cậy các chứng chỉ SSL cho các dịch vụ không được ký bởi
các CA lớn giống như VeriSign, Equifax hay các tổ chức thẩm
định khác.
Mặc dù vậy nếu muốn có các dịch vụ SSL trong bên trong tổ
chức hoặc trên mạng LAN, bạn có thể tự tạo cho riêng mình một
CA riêng. Có nhiều công cụ hiện giờ có thể giúp bạn tạo một
CA cho riêng mình dễ dàng và OS X Keychain Assistant là một
trong số đó.
Để bắt đầu, bạn hãy khởi chạy ứng dụng OS X Keychain
Assistant. Khi ứng dụng đã được khởi chạy, chọn Keychain
Assistant từ thanh menu, sau đó chọn Certificate Assistant. Từ
sub-menu kế tiếp mới được mở ra, chọn Create A Certificate
- Authority. Khi đó bạn sẽ thấy cửa sổ Certificate Assistant và
cửa sổ này sẽ hướng dẫn bạn qua các bước để tạo Certificate
Authority của riêng mình để sau đó ký các chứng chỉ SSL.
Đặt tên cho CA của bạn, sử dụng Self Signed Root CA để nhận
dạng kiểu. Với User Certificate, để các mặc định (S/MIME
Email; hoàn toàn có thể thay đổi về sau này). Trong trang tiếp
theo, thay đổi thời gian hợp lệ nếu bạn muốn (mặc định là một
năm), và chọn Create A CA Web Site. Tiếp đến, điền vào các
thông tin được sử dụng để tạo chứng chỉ: City, State, Country,…
Các màn hình tiếp theo sẽ liệt kê chi tiết kích cỡ khóa và kiểu
mã hóa; để 2048-bit RSA. Cuối cùng, trên panel Key Usage
Extension, bảo đảm các mục Signature, Certificate Signing,
và CRL Signing đã được chọn.
Khi bạn đến trang Extended Key Usage Extension, hãy bảo đảm
tùy chọn Any được chọn nếu bạn muốn CA này có khả năng ký
tất cả các kiểu chứng chỉ SSL. Nếu chỉ cần ký một số kiểu
chứng chỉ SSL nào đó (chẳng hạn như chỉ các máy khách SSL),
hãy chọn những tính năng đó. Trong trang tiếp theo, bạn sẽ phải
chọn khả năng yêu cầu từ người dùng – cũng chọn Any ở đây để
CA có thể ký các kiểu request. Cuối cùng trong trang tiếp theo,
- bảo đảm các thiết lập Include Basic Constraints Extension và
Use This Certificate as a certificate authority đều được kích
hoạt.
Còn nhiều trang khác trong tiến trình mà chúng tôi không đề cập
đến; nó hoàn toàn an toàn khi để các tùy chọn mặc định. Panel
cuối cùng sẽ hỏi bạn về nơi bạn muốn lưu chứng chỉ và hỏi xem
có tin tưởng các chứng chỉ được ký bởi CA này trên các máy nội
bộ không. Chọn một keychain (hệ thống, đăng nhập, hoặc thứ gì
đó mà bạn tạo ra thật đặc biệt để quản lý CA và các request của
nó), và kích hoạt việc kiểm tra sự tin cậy.
Lúc này CA đã được tạo, bạn có thể tạo các chứng chỉ và ký các
request bằng cách sử dụng Certificate Assistant. Để tạo nhanh
chóng một chứng chỉ cho một website, kích Create A
Certificate trong menu Keychain Assistant sổ xuống. Với tên,
sử dụng tên của website, với kiểu nhận dạng, chọn Leaf. Với
kiểu chứng chỉ, chọn SSL Client. Khi được yêu cầu chọn nhà
phát hành CA (CA issuer), chọn CA mà bạn vừa tạo.
Key và chứng chỉ sẽ được lưu vào keychain mà bạn chọn từ
trước và sẽ được tạo với một thời gian mãn hạn là một năm.
Quan sát trong Keychain Assistant, bạn sẽ thấy chứng chỉ, và
- khóa riêng RSA có liên quan với nó. Kích phải vào khóa riêng,
bạn sẽ thấy tùy chọn Request A Certificate From Certificate
Authority; nếu chọn tùy chọn này, bạn sẽ mở lại Certificate
Assistant và sẽ có khả năng tạo yêu cầu chứng chỉ (hình A).
Trong cửa sổ mở, sử dụng trường Common Name cho URL của
dịch vụ (chẳng hạn như để tạo chứng chỉ SSL cho foo.test.com,
sử dụng foo.test.com là CN, hoặc một địa chỉ email cho một
chứng chỉ email S/MIME,…), sau đó lưu request vào đĩa.
Hình A
Trong Finder, kích đúp vào file .certSigningRequest đã được
- tạo. Certificate Assistant sẽ mở lại và cho phép bạn ký chứng chỉ
với CA vừa được tạo. Chọn Let Me Override Defaults để tùy
chỉnh chứng chỉ mà chúng ta sẽ tạo (cách thức mà Certificate
Assistant tạo các yêu cầu sử dụng cũng sử dụng tùy chọn mặc
định hữu dụng).
Nhiều cửa sổ bạn đi qua sẽ giống như các cửa sổ thiết lập CA ở
giai đoạn đầu tiên. Sự quan tâm chủ yếu là màn hình Extended
Key Usage Extension, đây là nơi bạn có thể chọn kiểu chứng chỉ
gì.
Certificate Assistant sẽ hỏi bạn rất nhiều câu hỏi, một số câu hỏi
có thể khá lạ lẫm. Trợ giúp được cung cấp sẵn sẽ hỗ trợ bạn
trong việc đưa ra những lựa chọn đúng đắn. Với một mạng nội
bộ hoặc LAN cơ bản, sử dụng Certificate Assistant có thể bảo
đảm cho việc sử dụng và tạo các chứng chỉ SSL dễ dàng. Tuy
cũng có nhiều công cụ khác có thể thực hiện công việc này
nhưng Certificate Assistant là một công cụ đi kèm với các máy
Mac và sẽ trở nên dễ dàng hơn cho những người chưa có nhiều
kinh nghiệm.
Thêm tài liệu vào bộ sưu tập có sẵn:
Báo xấu
LAVA
ERROR:connection to 10.20.1.100:9315 failed (errno=111, msg=Connection refused)
ERROR:connection to 10.20.1.100:9315 failed (errno=111, msg=Connection refused)
Đang xử lý...
Thêm vào BST
Báo xấu
