V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
wkdhf233
V2EX  ›  问与答

求 ocserv 使用购买的证书的步骤

  •  
  •   wkdhf233 · 2015-10-19 18:35:14 +08:00 · 3157 次点击
    这是一个创建于 3347 天前的主题,其中的信息可能已经有所发展或是发生改变。
    ocserv 的用的自签名证书,买了个 Positive SSL 想换上去
    现在手上有一个生成的 key 和 csr ,一个发过来的 ca-bundle 和一个 crt

    。。然后完全不知道怎么生成服务器证书 orz ,搜了一圈都没搜到,只能来伸个手了

    第一次用证书,满地滚卖萌求教程
    9 条回复    2015-10-19 19:19:49 +08:00
    alect
        1
    alect  
       2015-10-19 18:53:24 +08:00
    购买的证书只是可以让你链接服务器的时候不会提示证书不可信,并不是让你用来做登录验证的。
    如果要使用证书登录而不是密钥登录,需要自己生成根证书与子证书用于登录验证。
    xfspace
        2
    xfspace  
       2015-10-19 18:56:59 +08:00
    Positive SSL 是域名证书...和登录证书是不一样的
    wkdhf233
        3
    wkdhf233  
    OP
       2015-10-19 18:57:18 +08:00
    @alect 证书登陆已经配置好了,移动设备就用的描述文件直接登

    我就只想消除那个证书不可信。。
    wkdhf233
        4
    wkdhf233  
    OP
       2015-10-19 18:58:31 +08:00
    @xfspace 登陆证书已经弄好了。。就差域名的了。。
    EPr2hh6LADQWqRVH
        5
    EPr2hh6LADQWqRVH  
       2015-10-19 19:07:03 +08:00
    你本地信任自己的根证书不就行了么
    alect
        6
    alect  
       2015-10-19 19:09:34 +08:00
    @wkdhf233 你证书链没加完全。 comodo 的证书链比较长
    把 crt 文件用文本编辑工具打开,然后把 ca-bundle 那个文件的内容附在 crt 文件的后面,合并成 ssl.pem
    key 文件保存为 key.pem
    server-cert = /etc/ocserv/ssl.pem
    server-key = /etc/ocserv/key.pem
    wkdhf233
        7
    wkdhf233  
    OP
       2015-10-19 19:17:10 +08:00
    @avastms 强迫症不舒服啊。。

    @alect 感谢,我试一下
    isis
        8
    isis  
       2015-10-19 19:17:41 +08:00   ❤️ 1
    @xfspace
    @wkdhf233
    这半年各种姿势都用过,无奈搬瓦工超售成狗。。
    OCServ 、 IKEV2 、 SSTP 、 SSL 的证书增强密钥用法都是一样的,都是[保证远程计算机的身份],[向远程计算机证明你的身份],只要证书的 common name 或者 dns name 里面包含服务器的域名就可以了。。。
    之前 wosign 还能申请到三年免费证书的时候我就申请了一个证书(穷,自己生成 CSR 就好,不要用他在线生成的 Key ,阴谋论。。。),这四种用途都可以无不可信提示。。

    server-cert = /etc/ocserv/pki/server/server.crt
    server-key = /etc/ocserv/pki/server/server.key
    ca-cert = /etc/ocserv/pki/ca/ca.crt

    server 证书是商业 ca 给你发的,可以消除不可信提示
    ca 证书是你自己发的,用于客户端证书登录
    客户端都不需要信任 ca ,有用这个 ca 颁发的证书和私钥就可以,亲测。。。
    isis
        9
    isis  
       2015-10-19 19:19:49 +08:00
    令: server.crt 里面需要补全证书链
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4292 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 05:32 · PVG 13:32 · LAX 21:32 · JFK 00:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.