安全套接字层(SSL)和Web浏览器

当你第一次使用SSL连接(http年代)来访问groov管理上的groov史诗处理器从一个浏览器Chrome, Firefox, Safari,你可能会收到一个浏览器警告像“你的连接不是私人”或“你的连接不安全”。

这个问题并不是特定于groov史诗处理器。任何服务器(和groov史诗是你尝试连接到服务器)使用SSL / TLS安全需要一个可信的服务器证书验证服务器上安装由一个可信的权威。(这适用于电脑,计算机服务器,甚至树莓π。)

这是因为默认安装的服务器证书groov史诗般的处理器在工厂自签名由史诗本身,这是被视为一个可信的权威。

您可以接受浏览器的风险信息,为每个连接或破例在浏览器,然后访问你groov史诗。然而,之后的每一个连接到史诗般的从浏览器将产生另一个风险信息或选择创建一个例外。

我们如何创建一个可信、安全浏览器(客户端)和之间的联系groov史诗处理器(服务器)和避免风险信息或反复异常?

有几种选择:

  • 获得一个有效的签名服务器证书从一个已知的受信任的网络认证中心(CA)对连接进行身份验证。这些中科院科摩多的例子,RapidSSL,赛门铁克,LetsEncrypt等等。这种方法既能参与和昂贵的设置,但一旦完成,允许任何浏览器连接groov史诗处理器的服务器证书签署没有风险和异常的消息。
  • 问问你的IT管理员对公司签署方法使用您的组织的证书颁发机构。他们可以创建一个受信任的服务器证书的签署groov史诗的处理器。一旦安装完毕,任何人登录企业局域网将有一个适当的客户机证书,可以安全地进行身份验证groov史诗的服务器证书。这种方法需要与你的IT团队密切合作,但是是最快和最简单的方法,如果可用。
  • 创建您自己的个人证书权威在你的本地文件系统,并使用它来创建并签署自己的浏览器客户端证书,并为每个单独的服务器证书groov史诗的处理器。这种方法需要很少,如果有的话,它的参与,是理想的规模较小groov史诗的架构。

对于本教程,我们将向您展示如何执行最后的选择的步骤:创建您自己的CA签名密钥,创建客户端证书和服务器证书和浏览器可信存储和上传相应的证书groov史诗处理器,这样你就可以安全的连接,避免浏览器警告消息。

我们强烈建议完成本教程的人具有一般知识和经验在终端命令行项目,比如Bash,腻子,终端在Mac或其他人。经验与记事本等文本编辑器,Visual Studio代码,Nano,或任何其他文本编辑器是强烈推荐。

在开始这个过程之前,我们也建议您咨询您的网络管理员和/或IT团队讨论这些证书的创建和分布,并确定它是否适合您的需求。

安全不能归结为一系列步骤;它必须是一个持续的过程。

概述

目标是创建x PKI-based证书颁发机构(CA)签名密钥,客户端证书,服务器证书为任意数量的设备,你想安全地连接。

本指南分为三个部分,一个为每个目标;的证书颁发机构(CA),客户端证书(CC)和签署服务器证书(SC)。请注意,您做前三个步骤只有一次(设置初始证书颁发机构和客户端证书)。一旦完成,你重复最后的四个步骤groov史诗处理器你想安全地连接到用你的浏览器。

创建一个证书颁发机构(CA)

  • 我步:使用OpenSSL工具在你的Windows, Mac或Linux计算机上创建一个证书颁发机构(CA)密钥文件。这个密钥文件将被用来进行身份验证并签署所有其他所需的文件,并且永远不应该被分发或与任何人分享。
    这关键是受密码保护,应该保持安全。

创建并安装客户端证书(CC)

  • 第二步:使用OpenSSL工具来创建一个客户机证书,你将分发给其他人。
  • 第三步:安装到您的操作系统或浏览器的客户端证书的信任当局在任何电脑,移动设备或其他设备,需要安全访问你groov史诗(s)。

创建单独的服务器证书(SC)groov史诗

  • 第四步:使用一个ASCII文本编辑器来创建另一个主题名称(SAN)扩展文件同事与一个特定的服务器证书groov史诗般的主机名或静态IP地址。这个文件是用于每个服务器的创建或更新证书。
  • 第五步:使用groov管理更新groov史诗处理器的证书签名请求(CSR)和下载到你的电脑。
  • 第六步:使用OpenSSL工具签署CSR文件并生成服务器证书文件给你groov史诗(s)。
  • 第七步:使用groov管理安装文件到你的服务器证书groov史诗处理器并重新启动您的浏览器来测试你的安全连接。

提供一个广泛的概述的移动部件,这是一个列表的所有文件将在本指南中下载或生成。

这些文件与证书颁发机构和客户相关证书(步骤I, II和III):

  • [myCertificateAuthority] -CA.key——passphrase-protected独特的安全证书颁发机构(CA)密钥文件用于生成客户机和服务器证书。
  • [myClientCertificate] -CC.pem-客户端证书(CC)文件分发给客户,将安装操作系统或浏览器上值得信赖的商店。
  • [myClientCertificate] -CC.srl自动生成的文件与客户端证书(CC),增加你为每个服务器证书。

这些文件与服务器证书(SC)为每个单独的_ groov_史诗处理器IV-VII(步骤):

  • [myEPIC] -SAN.ext-扩展文件服务器证书用于设置主机名;具体地说,它集主题备用名称(SAN)的一个重要部分服务器证书。
  • [myEPIC] -CSR.pem——生成的证书签名请求(CSR)groov史诗的处理器。
  • [myEPIC] -SC.crt——服务器证书(SC)您将上传史诗groov管理。
  • [myEPIC] -PK.pem私钥(PK)从每个下载groov史诗处理器需要在安装使用的服务器证书groov管理。


本指南专门使用Windows编写10 Pro(10)版本,_groov69年史诗PR1固件版本1.3.2,Chrome, Firefox 62, XCA 2.1.1._

虽然许多旧的和新的版本可能使用这个程序,请注意,可能会有一些差异在不同版本的功能和接口。


继续创建一个证书颁发机构(CA)(步骤1)

或者去史诗开发概述回家