这是一个创建于 3305 天前的主题,其中的信息可能已经有所发展或是发生改变。
ocserv 的用的自签名证书,买了个 Positive SSL 想换上去
现在手上有一个生成的 key 和 csr ,一个发过来的 ca-bundle 和一个 crt
。。然后完全不知道怎么生成服务器证书 orz ,搜了一圈都没搜到,只能来伸个手了
第一次用证书,满地滚卖萌求教程
现在手上有一个生成的 key 和 csr ,一个发过来的 ca-bundle 和一个 crt
。。然后完全不知道怎么生成服务器证书 orz ,搜了一圈都没搜到,只能来伸个手了
第一次用证书,满地滚卖萌求教程
 |
1
alect 2015-10-19 18:53:24 +08:00
购买的证书只是可以让你链接服务器的时候不会提示证书不可信,并不是让你用来做登录验证的。
如果要使用证书登录而不是密钥登录,需要自己生成根证书与子证书用于登录验证。 |
 |
2
xfspace 2015-10-19 18:56:59 +08:00
Positive SSL 是域名证书...和登录证书是不一样的
|
 |
5
EPr2hh6LADQWqRVH 2015-10-19 19:07:03 +08:00
你本地信任自己的根证书不就行了么
|
|
6
alect 2015-10-19 19:09:34 +08:00
@wkdhf233 你证书链没加完全。 comodo 的证书链比较长
把 crt 文件用文本编辑工具打开,然后把 ca-bundle 那个文件的内容附在 crt 文件的后面,合并成 ssl.pem key 文件保存为 key.pem server-cert = /etc/ocserv/ssl.pem server-key = /etc/ocserv/key.pem |
 |
8
isis 2015-10-19 19:17:41 +08:00  1
@xfspace
@wkdhf233 这半年各种姿势都用过,无奈搬瓦工超售成狗。。 OCServ 、 IKEV2 、 SSTP 、 SSL 的证书增强密钥用法都是一样的,都是[保证远程计算机的身份],[向远程计算机证明你的身份],只要证书的 common name 或者 dns name 里面包含服务器的域名就可以了。。。 之前 wosign 还能申请到三年免费证书的时候我就申请了一个证书(穷,自己生成 CSR 就好,不要用他在线生成的 Key ,阴谋论。。。),这四种用途都可以无不可信提示。。 server-cert = /etc/ocserv/pki/server/server.crt server-key = /etc/ocserv/pki/server/server.key ca-cert = /etc/ocserv/pki/ca/ca.crt server 证书是商业 ca 给你发的,可以消除不可信提示 ca 证书是你自己发的,用于客户端证书登录 客户端都不需要信任 ca ,有用这个 ca 颁发的证书和私钥就可以,亲测。。。 |
|
9
isis 2015-10-19 19:19:49 +08:00
令: server.crt 里面需要补全证书链
|
Select Language