En este artículo los usuarios aprenderán a evitar problemas con el navegador web Safari y “errores de websocket” (ejemplo: “este sitio web no es de confianza”).
El problema va más allá de confiar explícitamente en el certificado SSL por defecto (esto por si solo ,no funciona). Creando su propia autoridad de certificación (CA) y reemplazar el certificado por defecto con este certificado firmado puede evitar los errores de web.
Nota antes de empezar: vas a necesitar OpenSSL y equipo a ejecuta en Mac os x para completar esto.
En Resumen, los pasos son:
- Crear una autoridad de certificación
- Crear un certificado firmado por la CA que acaba de crear
- Exportar el certificado y clave privada
- Preparar un archivo de certificado
- Subir el archivo de certificado para el router y cambiar el valor por defecto
Pasos
Por lo tanto, los pasos son:
1. crear una autoridad de certificación
Pasos para hacer esto posible, hacerlo con OpenSSL, pero querío que mi sistema operativo de forma nativa confirmar que esta CA.
- Abrir Asistente de llavero (aplicaciones > Utilidades > llavero asistente)
- En el menú de “Asistente de llaves“, seleccione «Asistente para certificados» y luego “crear una autoridad de certificados…’
- Para el “la autoridad del certificado crea” página…
un) darle CA un nombre, ( recuerda este name)
b) tipo de identidad = yo firmo raíz CA (es default),
c) usuario certificado = SSL Server
d) Compruebe “me deja anular defaults”
e) opcional: desmarque “Hacen de esta CA por defecto”
f) opcional: cambiar el campo “Correo electrónico de” a un correo electrónico con su Hit “Continue” choosing
g) - Para la primera página de “Información de crear”…
) número de serie = 1
b) período de validez (días) = 3650 (puede configurar esto para lo que quieras, pero tendrás que rehacer esta tras la expires
c) del período de validez opcional: Consulte “Crear un sitio web de CA” y definir la ubicación. (Probablemente no lo hace)
d) desmarcar “Muestra su invitation”
e) Hit “Continuar” - Para la segunda página de “Información de crear”…
a) completa el información como te convenga y continuar a la siguiente página - De la página “Clave uso extensión para esta CA”…
licencia estos detalles ya que son por defecto, golpe siguen - De la página “Clave uso extensión para esta CA”…
licencia estos detalles ya que son por defecto, golpe siguen - Para la “extensión de uso clave para los usuarios de este CA” página…
licencia estos detalles ya que son por defecto, golpe siguen - De la página de “Extended clave uso extensión para esta CA”…
licencia estos detalles ya que son por defecto, golpe siguen - Para el “Extended Key extensión de uso para los usuarios de este CA” página…
licencia estos detalles ya que son por defecto, golpe siguen - De la página “Básicas restricciones extensión para esta CA”…
licencia estos detalles ya que son por defecto, golpe siguen - Para la “extensión básica las restricciones para los usuarios de este CA” página…
licencia estos detalles ya que son por defecto, golpe siguen - De la página “Tema de extensión de nombre alternativo para este CA”…
licencia estos detalles ya que son por defecto, golpe siguen - Para el “sujeto alternativo nombre extensión para los usuarios de este CA” página…
licencia estos detalles ya que son por defecto, golpe siguen - Para el “especificar una ubicación para el certificado” página…
a) opcional: cambiar la ubicación para el llavero ( recuerde este Keychain)
b) Compruebe “en este equipo, confía en certificados firmados por este crear de golpe CA”
2. crear un certificado firmado por la CA que acaba de crear
Continuando con acceso a Llaveros…
- Desplácese hasta el llavero donde guardaste la autoridad certificadora y encontrar la clave privada de la CA (habrá tres con el mismo nombre: un certificado de clave pública y clave privada)
- Haga clic en la “clave privada” y haga clic en “Crear un certificado con xxxxx…”
- En el page
a) de “Crear su certificado” le da un nombre, me gusta usar el nombre de mi router (IE ubnt.local) ( recuerde este tipo de identidad name)
b) = “Lead”
c) tipo = “SSL Server”
d) Check “Déjame reemplazar defaults”
e) Hit continuar - En el número de serie “Certificado información” page
a) = 1
b) período de validez (días) = 365 (puede configurar esto para lo que quieras, pero deberás volver a crear este certificado después de continuar el expires)
c) período de validez Hit - Para la segunda página de “Información de crear”…
a) completa el información como te convenga y continuar a la siguiente página - De la página de “Extensión de uso de la clave”…
) licencia estos detalles ya que son por defecto, golpe siguen - De la página de “Extensión de uso de clave extendida”…
un) cheque “SSL servidor Authentication”
b) desactive todas las demás capacidades - De la página de “Extensión de restricciones básicas”…
) licencia estos detalles ya que son por defecto, golpe siguen - De la página de “Extensión de nombre alternativo de tema”…
un) rfc822Name
b) claro claro URI
c) dNSName = url/nombre de host de su interfaz gráfica de usuario (es decir. dirección IP de ubnt.local)
d) = dirección IP de su interfaz gráfica de usuario
- Para el “especificar una ubicación para el certificado” página…
a) opcional: cambiar la ubicación para el llavero ( recuerde este crear de golpe Keychain)
b)
3. exportar el certificado y clave privada
- Desplácese hasta el llavero donde guardó el certificado y es certificado y clave privada (habrá tres con el mismo nombre: un certificado de clave pública y clave privada)
- Haga clic derecho sobre el certificado y elija export
a) guardar el archivo, utilizando el formato de archivo de certificado ( recuerde el nombre del archivo y la ubicación de este archivo! ) - Haga clic derecho sobre la clave privada y elige export
a) guardar el archivo, mediante el intercambio de Información Personal (. p12) formato de archivo ( Recuerde el nombre de archivo y la ubicación deeste archivo! )
4. prepare un archivo de certificado
He utilizado OpenSSL para hacerlo, aunque estoy seguro que hay otras maneras de
Usted lo necesita comando línea experiencia desde aquí en… lo siento!
- Abrir una ventana de terminal (aplicaciones > Utilidades > Terminal)
- Opcional: Cambiar el directorio a la carpeta que contiene su certificado / privado clave archivos
-
cd path_to_files
-
- Convertir el archivo de certificado en un archivo pem (reemplazar el archivo nombres según corresponda)
-
openssl x509 -inform der -in certificate.cer -out certificate.pem - Convertir el archivo de clave privado en un archivo pem (reemplazar el archivo nombres según corresponda)
-
openssl pkcs12 -in privateKey.p12 -out privateKey.pem -nodes - Concatenar los dos archivos juntos (sustituir los nombres de archivo según sea el caso)
-
cat privateKey.pem certificate.pem > server.pem
5. subir el archivo de certificado para el router
Continuando con el Terminal
- SSH en el router
-
ssh router_ip_address -l your_user_name (enter your password when requested)
-
- Usted necesitará preparar el router el que posee o si no tiene permisos para una carpeta, he utilizado mi carpeta de inicio (cambiar nombres de archivos / carpetas como apropiado)
-
cd /home sudo chown your_user_name your_user_name
-
- Abrir una nueva ventana de Terminal (cmd + n)
- En la nueva ventana de terminal, copie el archivo en el router (reemplazar nombres de archivos / carpetas como apropiado)
-
scp server.pem [email protected]_ip_address:~/server.pem (enter your password when requested) - En terminal original ventana, cambio de propiedad del archivo
sudo chown www-data:www-data ~/server.pem - (Opcional) En la ventana terminal original, copia de seguridad de certificado predeterminada
-
sudo cp /etc/lighttpd/server.pem ~/server.pem.backup - En la ventana terminal original, sobrescribir el certificado predeterminado
-
sudo cp ~/server.pem /etc/lighttpd/server.pem
-
- Establecer permisos en el nuevo archivo de certificado
-
sudo chmod 400 /etc/lighttpd/server.pem
-
- Reiniciar lighttpd
-
sudo /usr/sbin/lighttpd -f /etc/lighttpd/lighttpd.conf
