nicht angemeldet
muss man ein eigenes CA zertifikat noch signieren?
Hallo,
ich mir da nicht ganz sicher,aber vielleicht weiss hier jemand eine antwort darauf.
Ich habe mit einem programm ein selbst signiertes soegenanntes CA zertifikat erstellt für eine
sichere https:// verbindung .
Normalerweise ist das doch ein CA zertifikat,welche eigentlich die ausstellen,die
andere zertifikate sogenannte zwischen zertifikate signieren?!
Meine frage dazu ist,muss ich jetzt noch ein zwischenzertifikat erstellen und dann
dieses zwischenzertifikat von meinem eigenen CA zertifikat signieren oder genügt es
wenn ich dieses CA zertifikat auf den server lade zwecks daten verschlüsselung?
In der openssl doku stand darüber dies:
4. Creating a self-signed certificate
If you don't want to deal with another certificate authority, or just
want to create a test certificate for yourself, or are setting up a
certificate authority of your own, you may want to make the requested
certificate a self-signed one. This is similar to creating a
certificate request, but creates a certificate instead of a
certificate request (1095 is 3 years):
openssl req -new -x509 -key privkey.pem -out cacert.pem -days 1095
Gruss vom Alain
--
..."Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher." (Albert Einstein)
..."Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher." (Albert Einstein)
-
Hallo Alain,
ich mir da nicht ganz sicher,aber vielleicht weiss hier jemand eine antwort darauf.
Ich habe mit einem programm ein selbst signiertes soegenanntes CA zertifikat erstellt für eine
sichere https:// verbindung .
Normalerweise ist das doch ein CA zertifikat,welche eigentlich die ausstellen,die
andere zertifikate sogenannte zwischen zertifikate signieren?!
Meine frage dazu ist,muss ich jetzt noch ein zwischenzertifikat erstellen und dann
dieses zwischenzertifikat von meinem eigenen CA zertifikat signieren oder genügt es
wenn ich dieses CA zertifikat auf den server lade zwecks daten verschlüsselung?Das kommt ganz auf die Verwendung an. Für einen öffentlichen Server empfiehlt sich ein Beglaubigungsschreiben (Zertifikat verifizieren).
Hast Du das nicht, fragt der Browser jeden Besucher, was er selbst mit dieser Seite anfangen soll, sprich ob er ihr vertrauen soll oder nicht. Im Ersterern Fall kann der Besucher das Zertifikat im Browser installieren, so dass beim nächsten Aufruf der Seite die Frage des Vertrauens nicht mehr gestellt wird.
Im Zweiten Fall , Besucher vertraut nicht, wird die Seite nicht ausgeliefert.
Gruss, Erwin
--
SELFforum - Das Tor zur Welt!
Theoretiker: Wie kommt das Kupfer in die Leitung?
Praktiker: Wie kommt der Strom in die Leitung?-
Hallo,
Das kommt ganz auf die Verwendung an. Für einen öffentlichen Server empfiehlt sich ein Beglaubigungsschreiben (Zertifikat verifizieren).
meinst Du jetzt eine offizielle CA Firma oder soll sich das auch auf das eigene
signieren beziehen?Hast Du das nicht, fragt der Browser jeden Besucher, was er selbst mit dieser Seite anfangen soll, sprich ob er ihr vertrauen soll oder nicht. Im Ersterern Fall kann der Besucher das Zertifikat im Browser installieren, so dass beim nächsten Aufruf der Seite die Frage des Vertrauens nicht mehr gestellt wird.
sieht er dann ein ein selbst signiertes CA zertifikat?
Im Zweiten Fall , Besucher vertraut nicht, wird die Seite nicht ausgeliefert.
Gruss vom Alain
--
..."Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher." (Albert Einstein)
-
-
ein serverzertifikat besagt ja für den besucher der seite, dass eine dazu autorisierte, unabhängige partei die authentizität (was ein wort...) des zertifikatsbesitzers bestätigt. wenn du dir ein solches zertifikat selbst erstellst macht das folglich keinen sinn, denn damit bestätigst du dir selbst deine identität und die besucher deiner site können dir das glauben oder aber nicht. das ist in etwa so, als wenn ich dir sage: 'ich bin seriös, vertrau mir dein geld an.' da du mich nicht kennst, wirst du das natürlich nicht tun. wenn dir aber z.b. deine bank sagt 'volker ist seriös, wir haben das überprüft', sieht die sache schon anders aus.
serverzertifikate kannst du dir von einer der anerkannten organisationen/firmen ausstellen lassen, z.b. verisign http://www.verisign.de oder thawte http://www.thawte.com. dafür musst du natürlich bezahlen, aber dafür bestätigt dir eine international anerkannte organisation deine identität.
gruss aus berlin, volker