Я только что скомпилировал OpenSSL и веб-браузер Lynx. Я хотел бы просматривать веб-сайты HTTPS. Я понимаю, что мне нужно получить сертификаты от CA, которые используют эти сайты, и что мне также нужен какой-то свой собственный сертификат. Веб-браузер правильно вызывает OpenSSL, но я не могу просматривать интернет, потому что у меня нет начального списка сертификатов CA.
Есть ли у кого-нибудь документация, объясняющая, как получить эти сертификаты и заставить OpenSSL их использовать?
Спасибо
решение1
Чтобы ваш браузер работал с SSL/TLS, вам необходимо установить в вашем браузере корневые сертификаты от разных центров сертификации. С этими сертификатами ваш браузер распознает ключи подписи и примет их. Вы можетепроверьте здесьдля получения списка центров сертификации, установленных в Mozilla, а также самих сертификатов.
P.S. Для установки сертификатов вам необходимо ознакомиться с документацией вашего браузера.
решение2
Есть ли у кого-нибудь документация, объясняющая, как получить эти сертификаты и заставить OpenSSL их использовать?
От Lynx'sREADME.sslcerts:
ПРЕДВАРИТЕЛЬНЫЕ ПРОЦЕДУРЫ:
Предполагается, что openssl установлен правильно, что каталог сертификатов по умолчанию — /usr/local/ssl/certs (часто это /etc/ssl/certs, но нам нужна отправная точка для обсуждения) и что lynx был скомпилирован с опцией --with-ssl.
Расположение сертификатов по умолчанию в вашей системе может быть другим или его может не быть. Вам придется заменить это расположение на /usr/local/ssl/certs в следующих инструкциях и/или задать переменные среды.
Чтобы определить местоположение сертификатов по умолчанию в вашей системе, вы можете выполнить следующую команду:
strings libcrypto.a | grep -in cert | lessПосмотрите в этом выводе на
SSL_CERT_DIRиSSL_CERT_FILE, и строки прямо над ними. Это ваше местоположение по умолчанию, соответственно, для сертификатов и пакета сертификатов CA, cert.pem. Конечно, вам нужно будет знать, где находится libcrypto.a.Пример вывода:
7490:/etc/ssl/certs 7491:/etc/ssl/cert.pem 7492:SSL_CERT_DIR 7493:SSL_CERT_FILEДругой возможный пример вывода:
31555:/usr/local/ssl/certs 31556:/usr/local/ssl/cert.pem 31557:SSL_CERT_DIR 31558:SSL_CERT_FILEОбратите внимание, что при установке OpenSSL утилита c_rehash устанавливается в каталог bin (по умолчанию
/usr/local/ssl/bin). Вам нужно будет знать, где она находится в вашей системе. Команда:whereis c_rehashвероятно, даст полезные результаты.
Обратите внимание, что в OpenSSL не распространяется пакет сертификатов CA. Команда OpenSSL специально решила НЕ делать этого. Получение набора доверенных сертификатов остается на установщике.
Извлечение пакета доверенных корневых сертификатов из последней версии Internet Explorer больше не является довольно тривиальной процедурой. Несколько сертификатов больше не экспортируются как файл в формате DER; извлечение одного сертификата является единственным экспортом для DER, а DER — это то, что преобразуется в PEM.
Пользователи с доступом к Apple OS X могут экспортировать все сертификаты из Keychain Access System Roots как файл .pem. Поместите это в SSL_CERT_DIR и хэшируйте его, и все готово.
Проект MirOS BSD также предоставляет их. Процедура их конвертации и установки подробно описана далее в этом документе, а если вам просто нужны коммерчески предоставляемые сертификаты, которым доверяет lynx, вы можете пропустить несколько строк до раздела УСТАНОВКА ИЛИ ОБНОВЛЕНИЕ ПАКЕТА CA.
Извлеченные пакеты сертификатов Mozilla доступны для загрузки из проекта curl.http://curl.haxx.se/docs/caextract.htmlвместе со скриптом для извлечения из исходного кода Mozilla.