HTTP 통신이 일반적인 통신처럼 작동하도록 유효한 보안 환경을 확보하려고 합니다. 제한된 사용자 그룹을 대상으로 이 작업을 수행하고 있습니다.
웹 서비스(nginx)를 실행하는 하드웨어 서버가 있습니다. OpenSSL이 이 컴퓨터에 설치되어 있으며 CA로도 사용하고 있습니다. 루트 CA 인증서를 생성하고 이를 사용하여 웹 서비스에 대한 인증서에 서명했습니다. 그런 다음 루트 CA 인증서를신뢰할 수 있는 사용자(내가 제어하는 다른 PC) 신뢰할 수 있는 기관으로 Firefox로 가져왔습니다.
거의 모든 것이 잘 작동합니다(HTTPS 서비스에 액세스할 수 있으며경고페이지가 나타나지 않음) 그러나파란색다음과 같은 서비스 상태(주소 표시줄의 첫 번째 항목, https://... 이전):
Youy are connected to
example.com
which is run by
(unknown)
Verified by: MyCA Company
예를 들어, addons.mozilla.com과 같은 세계적으로 알려진 다른 HTTPS 사이트는녹색상태이고 그들은 이것을 가지고 있지 않습니다(알려지지 않은)데이터 조각. 거기에는 회사 이름과 위치가 있습니다.
맞춤형 개인 보안 환경을 일반 환경처럼 작동하고녹색? 그렇다면 이를 얻으려면 어떻게 해야 합니까(클라이언트측? 서버측?)?
부작용 질문: PKI, SSL 등에 대해 어디서 배울 수 있나요?0부터 고급까지? 아니면 이와 관련된 좋은 책이 있을까요?
도움과 답변에 미리 감사드립니다.
답변1
당신은 할 수 없습니다. 이것이 바로 EV 인증서(위치 표시줄을 녹색으로 만드는 인증서) 뒤에 있는 추론입니다. 실제로 브라우저를 패치하거나 일부 EV-CA 개인 키를 해킹해야 합니다.
에서 스레드를 찾았습니다.OpenSSL 메일링 리스트그것은 문제를 설명합니다. 당신은 또한위키피디아 기사이 확장된 유효성 검사 항목이 모두 무엇인지에 대해 설명합니다.
귀하의 측면 질문에 관해서는 전체 PKI 및 SSL 관련 내용이 엄청나게 복잡합니다. 나는 다음을 찾았습니다.기사이는 자신만의 PKI를 구축하는 데 필요한 몇 가지 이론을 설명하지만 "0부터 고급까지" 훌륭한 튜토리얼과는 거리가 멀습니다. 그럼 당연히 있지RFC 5280, 하지만 이로 인해 일부매우무거운 독서. 그러나 적어도 그것은 가치에 대한 공식적인 표준입니다.