Retrage certificatul emis anterior
După revocare este necesară pentru a re-crea lista de revocare a datelor privind un certificat revocat au fost efectuate în LCR. La generarea de certificate OpenSSL creează întotdeauna o copie a acestuia în directorul specificat în openssl.cnf Directiva new_certs_dir. Numele certificat în acest catalog sunt alcătuite din numărul certificatului și extensia de serie .pem (de obicei). Lista certificatelor eliberate și numerele lor de serie pot fi găsite în fișierul index.txt (directiva de baze de date).
Verificarea lanțului de certificate de încredere
Dacă toate rădăcină și certificatele intermediare disponibile în sistem, veți primi OK. În caz contrar, o eroare va fi emis.
conversia certificatelor
Conversia certificat pfx de la formatul DER
Conversia unui certificat de format PEM la P7b
Conversia unui certificat de format PEM la PKCS # 12 (.p12 sau .pfx)
Setați propriile certificate rădăcină
Debian, distribuții Ubuntu și derivați
Copiați cheia publică a certificatului rădăcină în / etc / SSL / certs si executa:
CentOS, Fedora, distribuțiile RHEL și derivați
Copiați cheia publică a certificatului rădăcină în / etc / PKI / CA-trust / sursa / ancore și rulați:
Dacă vedeți următorul avertisment:
este necesară pentru a permite actualizarea de configurare dinamică, apoi efectuați extractul:
Verificări și teste
Verificați SSL conexiune
Pentru a verifica funcționalitatea SSL conexiune poate fi utilizat s_client, care face parte din pachetul OpenSSL
Firefox și unele versiuni de browsere mobile în certificatul valabil înjurăturile
Acest lucru se datorează faptului că Mozilla Foundation (sau un alt furnizor) nu furnizează certificate intermediare, împreună cu browser-ul dumneavoastră. Pentru a rezolva această problemă trebuie să skonkatenirovat certificate din lanțul de încredere în ordine inversă, începând cu propria lor.
De exemplu, după certificatul de achiziție aveți trei certificate de la furnizor:
fișier domain.ru.pem conține acum toate cele trei certificate. Era lui și specificați ca un certificat de domeniu-x509 în configurația server de web, care este ceva de genul:
Do Nginx -t Nginx -s Reîncărcați și verifica munca în Firefox și browserele mobile. De asemenea, puteți verifica prin s_client OpenSSL.