eSSL - एम्बेडेड सिस्टम के लिए एसएसएल प्रमाणपत्र

आजकल, नेटवर्क प्रौद्योगिकियां इतनी तेजी से विकसित हो रही हैं कि हाल ही में, " हर रेफ्रिजरेटर में इंटरनेट " का नारा पागल लग रहा था, अब शानदार नहीं लगता। लेकिन एक ही समय में, वैश्विक नेटवर्क के लिए स्थानीय और, भगवान ना करे के साथ एक WEB इंटरफ़ेस के साथ एम्बेडेड उपकरणों के सुरक्षा मुद्दे प्रासंगिक हो रहे हैं। एसएसएल तकनीक को एचटीटीपीएस प्रोटोकॉल पर वेब इंटरफेस के साथ काम करने की अनुमति देकर इसे मदद करने के लिए डिज़ाइन किया गया है, लेकिन एम्बेडेड सिस्टम की अपनी विशेषताएं हैं।

SSL के बारे में मौन सामान्य जानकारी

एसएसएल तकनीक आपको दो उपकरणों के बीच यातायात को एन्क्रिप्ट करने की अनुमति देती है। आप शायद जानते हैं कि एसएसएल प्रमाणपत्र वेब साइटों को जारी किए जाते हैं और डोमेन या उप-डोमेन से जुड़े होते हैं। प्रमाण पत्र विश्वसनीय प्रमाणीकरण प्राधिकारी द्वारा जारी किए जाते हैं और इलेक्ट्रॉनिक रूप से हस्ताक्षर किए जाते हैं। प्रमाणपत्र श्रृंखला ( प्रमाणन पथ ) की जांच करके ब्राउज़रों में प्रमाणपत्रों की पुष्टि की जाती है, इन केंद्रों के मूल प्रमाणपत्र पहले से ही मुख्य ब्राउज़रों के वितरण के साथ वितरित किए जाते हैं और इस तरह के सत्यापन उपयोगकर्ता के लिए अदृश्य हैं। यदि ब्राउज़र द्वारा विश्वसनीय रूट प्रमाणपत्र नहीं मिला है, तो उपयोगकर्ता को एक पृष्ठ चेतावनी जारी की जाती है कि सर्वर से कनेक्शन सुरक्षित नहीं है।

एम्बेडेड सिस्टम के साथ समस्या यह है कि,

• सबसे पहले, यह शब्द के सामान्य अर्थों में एक वेब साइट नहीं है (याद रखें, उदाहरण के लिए, वाई-फाई राउटर वेब इंटरफ़ेस), उत्पाद रिलीज के समय इसका अंतिम आईपी पता नहीं होता है, और यह भी कम संभावना है कि यह किसी प्रकार का डोमेन होगा।
• दूसरी बात, अंतिम उपयोगकर्ता IP और डोमेन दोनों को बदल सकता है, अगर एक था, कम से कम समान सुरक्षा उद्देश्यों के लिए।
• तीसरा, प्रमाण पत्र खरीदना काफी महंगा है, और लागत में कमी का मुद्दा हमेशा इसके लायक है।

इन समस्याओं को कैसे हल करें?

eSSL - एंबेडेड सिक्योर सॉकेट लेयर

आगे, मैं आपके न्यायालय में प्रयोगात्मक रूप से सत्यापित इस मुद्दे पर मेरे शोध के परिणाम प्रस्तुत करूंगा। यह लेख लिखने की प्रक्रिया में eSSL शब्द मेरे दिमाग में आया था, इसलिए मैं पूछता हूं कि आप embedders.org के लिंक के साथ किसी भी संदर्भ का उपयोग करें।
इसलिए, मैं प्रमाण पत्र की संरचना के कुछ महत्वपूर्ण पहलुओं को कवर करूंगा जो हमें उनकी ज़रूरत के अनुसार उपयोग करने की अनुमति देते हैं। कोई भी प्रमाणपत्र एक निजी कुंजी के साथ हस्ताक्षर किए गए स्ट्रिंग फ़ील्ड का एक संग्रह है। इन स्ट्रिंग क्षेत्रों में निहित डेटा को प्रमाणित करने के लिए प्रमाणपत्र में एक सार्वजनिक कुंजी भी है। फ़ील्ड की सूची X.509 v3 प्रारूप में परिभाषित की गई है और इसे RFC 5280 में वर्णित किया गया है (यह दस्तावेज़ का नवीनतम संशोधन है, इससे पहले RFC 3280 प्रभाव में था )। प्रमाण पत्र में एक कमोमेन फ़ील्ड होता है जो प्रमाणन विषय के नाम का वर्णन करता है, यह आमतौर पर उस वेबसाइट के डोमेन से मेल खाता है जिसके लिए प्रमाण पत्र जारी किया जाता है, लेकिन इस लाइन पर क्या दर्ज किया जाएगा, इसके लिए मानक पर कोई प्रतिबंध नहीं हैं, उदाहरण के लिए, लाइन "वास्या पुपकिन" भी मान्य होगी। मानक के दृष्टिकोण से यह क्षेत्र पहला पहलू है । लेकिन वेब ब्राउज़र प्रमाण प्रस्तुत करने वाली साइट के नाम के अनुपालन के लिए इस क्षेत्र की जाँच करते हैं। सौभाग्य से हमारे लिए, X509 v3 प्रारूप में, अतिरिक्त एक्सटेंशन परिभाषित किए गए हैं, जिनमें से एक विषय हैअनुनाम , जो आपको प्रमाणन विषय के मुख्य नाम ( commomName ) से जुड़े पहचानकर्ताओं को जोड़ने की अनुमति देता है। ये पहचानकर्ता हो सकते हैं:

• ईमेल पता
• डीएनएस
• आईपी ​​एड्रेस
• और यू.आर.आई.

और यह मानक के तीसरे संस्करण के प्रमाण पत्र की संरचना का दूसरा और शायद सबसे महत्वपूर्ण पहलू है । तथ्य यह है कि आप कई ऐसे पहचानकर्ता जोड़ सकते हैं, अर्थात आप कई आईपी पते दर्ज कर सकते हैं जिसके लिए जारी किया गया प्रमाण पत्र मान्य होगा। और यह वह है जो हमें चाहिए अगर एक निश्चित डिवाइस में विभिन्न उप-नेटवर्क में काम करने के लिए दो ईथरनेट इंटरफेस हैं, और यहां तक ​​कि विभिन्न प्रकार के मॉडेम के माध्यम से नेटवर्क तक पहुंचने की क्षमता भी है, अगर कनेक्शन पीपीपी के माध्यम से है, तो यह अपने आप में तीसरा इंटरफ़ेस होगा आईपी ​​एड्रेस जाहिर है, मैंने वैकल्पिक आईपी पतों के असाइनमेंट में एक महत्वपूर्ण बिंदु स्थापित किया है। ब्राउज़र्स इंटरनेट एक्सप्लोरर और फायरफॉक्स वैकल्पिक नामों के लिए अलग-अलग जांच करते हैं। फ़ायर्फ़ॉक्स IP पहचानकर्ता में निर्दिष्ट पते की पुष्टि करता है, और IE DNS पहचानकर्ता के साथ पते की पुष्टि करता है। इसलिए, दोनों ब्राउज़रों में प्रमाण पत्र को सत्यापित करने के लिए, प्रत्येक आवश्यक आईपी पते को आईपी और डीएनएस दोनों के रूप में निर्दिष्ट किया जाना चाहिए । यह कैसे करना है बाद में वर्णन किया जाएगा।

एसएसएल परिदृश्य एंबेडेड

मुझे एम्बेडेड सिस्टम में प्रमाण पत्र का उपयोग करने के लिए संभावित परिदृश्यों में से एक का उदाहरण दें। इस परिदृश्य को प्रमाण पत्र की खरीद की आवश्यकता नहीं है, लेकिन उपयोग में सीमाएं हैं। इस प्रकार,

1. हमें एक स्व-हस्ताक्षरित रूट प्रमाणपत्र बनाने की आवश्यकता होगी, जिस स्थिति में हम अपना प्रमाणन प्राधिकरण बन जाएंगे।
2. अगला, हमें अपने वेब-इंटरफ़ेस के लिए एक प्रमाण पत्र बनाने और पहले चरण में बनाए गए मूल प्रमाणपत्र के साथ हस्ताक्षर करने की आवश्यकता है।
3. हम इस प्रमाण पत्र को अपने एम्बेडेड सिस्टम की स्मृति में रखते हैं जहां एम्बेडेड वेब सर्वर इसे पा सकता है।
4. वेब इंटरफ़ेस के सभी उपयोगकर्ताओं के लिए, हमें अपना मूल प्रमाणपत्र जारी करना चाहिए, लेकिन निजी कुंजी नहीं ।
5. वेब इंटरफ़ेस उपयोगकर्ताओं को हमारे वेब ब्राउज़र में हमारे रूट प्रमाणपत्र को उन सभी कंप्यूटरों पर आयात करना चाहिए, जिनसे वे वेब इंटरफ़ेस में लॉग इन करने वाले हैं।

मैं इस बात पर जोर देता हूं कि यह परिदृश्य सुरक्षित नहीं है , राउटर के निर्माता इस पद्धति का उपयोग करते हैं, और स्मार्ट हैकर्स फर्मवेयर से चाबियाँ निकालते हैं और कोड. google.com/p/littleblackbox को डेटाबेस में डालते हैं। यह विधि सुविधाजनक भी नहीं है, क्योंकि हमें अंतिम उपयोगकर्ता को रूट प्रमाणपत्र पास करना होगा। और हमें एक सुरक्षित स्थान पर रूट प्रमाणपत्र और निजी कुंजी को संग्रहीत करने की भी आवश्यकता होगी। आदर्श रूप से, इन दोनों कार्यों को विश्वसनीय प्रमाणीकरण अधिकारियों में से एक द्वारा प्रदान किया जाता है, लेकिन वे इसके लिए शुल्क लेते हैं।
आगे मैं वर्णन करूंगा कि व्यवहार में प्रस्तावित परिदृश्य को कैसे लागू किया जाए। सभी क्रियाएं लिनक्स (डेबियन) और ओपनसेल प्रोग्राम चलाने वाले कंप्यूटर पर की जाएंगी।

एक रूट सर्टिफिकेट बनाएं

1. Opensl-1.0 स्थापित करें
2. निम्नलिखित लाइनों को बदलकर फ़ाइल '/etc/ssl/openssl.cnf' (या इसे अपने घर फ़ोल्डर में कॉपी करें) संपादित करें:
   
   

   [ CA_default ] dir = . # Where everything is kept unique_subject = no # Set to 'no' to allow creation of # several ctificates with same subject. 

   
   यहाँ dir आधार निर्देशिका है जिसमें हमारा स्वयं का प्रमाणपत्र प्राधिकरण स्थित होगा। इसे वर्तमान निर्देशिका में बनाएँ।
   क्योंकि हमारे उपकरणों का एक ही नाम हो सकता है (प्रमाण पत्र बनाते समय सामान्य नाम पैरामीटर), इसलिए, unique_subject पैरामीटर के साथ, हम आपको एक विषय के लिए कई प्रमाण पत्र बनाने की अनुमति देते हैं।
   हमने 2048 (या शायद 4096) बिट्स की कुंजी लंबाई निर्धारित की है।
   

    [ req ] default_bits = 2048 

   
   इसके अलावा, आप डिफ़ॉल्ट पैरामीटर निर्दिष्ट कर सकते हैं ताकि आपको उन्हें हर बार मैन्युअल रूप से दर्ज न करना पड़े, हालांकि रूट प्रमाणपत्र के लिए उन्हें केवल एक बार दर्ज करने की आवश्यकता होगी यदि आप सौ या दो रूट प्रमाण पत्र नहीं बनाने जा रहे हैं।
   

    [ req_distinguished_name ] countryName = Country Name (2 letter code) countryName_default = RU countryName_min = 2 countryName_max = 2 stateOrProvinceName = State or Province Name (full name) stateOrProvinceName_default = Saint-Petersburg localityName = Locality Name (eg, city) localityName_default = Saint-Petersburg 0.organizationName = Organization Name (eg, company) 0.organizationName_default = My Cool Company # we can do this but it is not needed normally :-) #1.organizationName = Second Organization Name (eg, company) #1.organizationName_default = World Wide Web Pty Ltd organizationalUnitName = Organizational Unit Name (eg, section) #organizationalUnitName_default = commonName = Common Name (eg, YOUR name) commonName_default = My Device commonName_max = 64 

   
   
3. मेरी- प्रमाणन निर्देशिका बनाएं जहां हमारा प्रमाणन प्राधिकरण होगा। एक कॉन्फिग उपनिर्देशिका बनाएं और हमारी कॉन्फ़िगरेशन फ़ाइल को वहां रखें।
4. निम्नलिखित पंक्तियों को '/usr/lib/ssl/misc/CA.pl' फ़ाइल में संपादित करें:
   

    $SSLEAY_CONFIG="-config /home/user/my-certs/conf/openssl.cnf"; $CADAYS="-days 3650"; # 10 years $CATOP="."; 

   
   यहाँ $ SSLEAY_CONFIG कॉन्फ़िगरेशन फ़ाइल के लिए पथ सेट करता है।
   $ CADAYS बताता है कि रूट प्रमाणपत्र कितने दिनों के लिए वैध होगा।
   $ CATOP इंगित करता है कि हम किस निर्देशिका में काम करेंगे। यह पैरामीटर उस चीज़ से मेल खाना चाहिए जिसे हमने चरण 2 में कॉन्फ़िगरेशन फ़ाइल में डीआईआर में निर्दिष्ट किया है।
   
5. रन कमांड
   

    /usr/lib/ssl/misc/CA.pl -newca 

   
   वह आवश्यक निर्देशिका संरचना और रूट प्रमाण पत्र बनाएगा, और इसे स्वयं हस्ताक्षर करेगा।
   अनुरोध पर, भविष्य के रूट प्रमाणपत्र के लिए पासवर्ड दर्ज करें और फिर इसे दोहराएं
   

    Enter PEM pass phrase: Verifying - Enter PEM pass phrase: 

   
   
6. प्रमाणन प्राधिकरण के रूप में आपके बारे में आवश्यक जानकारी दर्ज करें: देश, क्षेत्र, शहर, कंपनी। 'सामान्य नाम' फ़ील्ड में, 'माई डिवाइस रूट सर्टिफिकेट' की तरह कुछ दर्ज करें, यह लाइन भविष्य में उपयोगकर्ता के ब्राउज़र में सर्टिफिकेट सत्यापन पथ में दिखाई जाएगी। नव निर्मित प्रमाण पत्र की सामग्री को देखने के लिए, कमांड चलाएं (उदाहरण में 1024 बिट्स की कुंजी के साथ एक प्रमाण पत्र)
   

    openssl x509 -in cacert.pem -noout -text Certificate: Data: Version: 3 (0x2) Serial Number: d9:98:4f:55:e0:bb:b3:3c Signature Algorithm: sha1WithRSAEncryption Issuer: C=RU, ST=Saint-Petersburg, O=My Cool Company, CN=My Device root Certificate Validity Not Before: Oct 11 12:16:26 2011 GMT Not After : Oct  8 12:16:26 2021 GMT Subject: C=RU, ST=Saint-Petersburg, O=My Cool Company, CN=My Device root Certificate Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (1024 bit) Modulus: 00:d1:d1:0a:11:a3:1e:67:2b:d2:39:3e:ea:bf:44: 04:f9:2a:ae:c4:37:a2:76:8b:fc:de:6c:04:5a:56: 35:0b:12:8e:e6:31:62:5a:88:b4:53:a5:bf:9f:63: ea:6d:33:f9:4a:84:a5:8b:b1:f3:0b:9e:56:f8:27: 0d:8c:be:1d:76:be:6c:e5:c9:f3:f1:b0:cd:df:79: b4:0b:05:db:25:15:c1:e5:b3:08:17:af:67:e9:be: 44:a2:ce:ed:9a:6c:16:bb:f6:8c:73:ab:dd:86:5a: 82:73:6c:5e:03:fa:6e:8e:06:07:dd:8e:fb:95:51: 16:4b:91:87:be:15:9e:12:21 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Subject Key Identifier: 1F:1:A6:43:A2:49:E7:16:49:EC:FD:73:71:72:D7:7F:24:6D:AC:17 X509v3 Authority Key Identifier: keyid:1F:1:A6:43:A2:49:E7:16:49:EC:FD:73:71:72:D7:7F:24:6D:AC:17 X509v3 Basic Constraints: CA:TRUE Signature Algorithm: sha1WithRSAEncryption 60:f2:cf:c7:52:11:83:c7:ea:b7:ae:68:8a:63:7a:89:5b:d6: 4e:ae:ba:0d:9d:a3:e6:86:07:db:54:77:59:b1:f9:dc:38:bd: a2:31:b6:18:80:80:3d:e1:20:13:23:28:26:b8:b0:aa:4f:a8: f7:92:89:13:2a:48:62:29:fb:3c:b7:ab:23:cb:97:ae:7c:21: 15:8e:23:e3:13:a1:e1:0d:85:dc:d0:8d:f7:fc:a5:60:0e:bc: 5d:ea:31:d1:b4:ac:f6:24:b2:7e:4e:27:88:67:16:94:6e:5d: 4b:b4:ef:fa:8a:49:71:23:62:81:78:2c:03:a3:3d:ae:c9:7b: 5c:f8 

   
   
7. फिर पासवर्ड के बिना RSA कुंजी बनाएं
   

    ~/my-certs$ openssl rsa -in private/cakey.pem -out private/ca.key Enter pass phrase for private/cakey.pem: writing RSA key 

   
   इसे कॉन्फ़िगरेशन फ़ाइल ( /home/user/my-certs/conf/openssl.cnf ) में निर्दिष्ट किया जाना चाहिए, फिर उपयोगकर्ता प्रमाणपत्र बनाते समय आपको हर बार रूट प्रमाणपत्र के लिए पासवर्ड दर्ज करने की आवश्यकता नहीं होगी।
   

    private_key = $dir/private/ca.key # The private key 

   
   
8. X509 प्रारूप में एक प्रमाण पत्र बनाएँ
   

    ~/my-certs$ openssl x509 -in cacert.pem -out ca.crt 

   
   इसे कॉन्फ़िगरेशन फ़ाइल में निर्दिष्ट किया जाना चाहिए, फिर उपयोगकर्ता प्रमाण पत्र बनाते समय, आपको हर बार रूट प्रमाणपत्र के लिए पासवर्ड दर्ज करने की आवश्यकता नहीं होगी।
   

    certificate = $dir/ca.crt # The CA certificate 

   
   
9. नतीजतन, हमारे पास 4 फाइलें होंगी
   

    private/ca.key private/cakey.pem ca.crt cacert.pem 

   
   इन फ़ाइलों को "आंख के सेब की तरह पोषित" होना चाहिए क्योंकि वे अंतिम उपयोगकर्ताओं के लिए सभी प्रमाणपत्रों पर हस्ताक्षर करेंगे। लेकिन ब्राउज़रों में आयात के लिए ca.crt फ़ाइल को अंत उपयोगकर्ताओं के लिए स्थानांतरित कर दिया जाएगा।

उपकरणों के लिए प्रमाण पत्र

अब हमें एक अंतिम-उपयोगकर्ता या सर्वर प्रमाणपत्र बनाने और रूट प्रमाणपत्र के साथ हस्ताक्षर करने की आवश्यकता है, जिसे हमने पिछले अनुभाग में बनाया था। मेरे लिए मुख्य समस्या यह थी कि मेरे डिवाइस में कई नेटवर्क इंटरफेस हैं जो अलग-अलग नेटवर्क से जुड़ते हैं और तदनुसार, अलग-अलग आईपी पते हैं।

1. आइए हमारी Opensl.cnf कॉन्फ़िगरेशन फ़ाइल को संपादित करें और निम्नलिखित जोड़ें, शायद सबसे महत्वपूर्ण लाइनें जो [usr_cert] अनुभाग के अंत में और [v3_req] अनुभाग से पहले हमारी समस्याओं को हल करेंगी ।
   
   

    subjectAltName=@alt_names [alt_names] # .    ,       . IP.0 = 192.168.10.1 IP.1 = 192.168.1.1 DNS.0 = 192.168.10.1 DNS.1 = 192.168.1.1 

   
   यहां वैकल्पिक नाम जोड़े जाते हैं जो x509 मानक के संस्करण v3 के एक्सटेंशन में दिखाई देते हैं और यह DNS नाम, आईपी पता या एनआरआई पता हो सकता है। कई हो सकते हैं, मुख्य बात यह है कि बिंदु के बाद का आंकड़ा अलग है। जाहिर है, मैंने पाया कि फ़ायरफ़ॉक्स आईपी नामों को निगलता है, और IE8 DNS नामों को निगलता है। इसलिए, हमें FireFox के लिए IP पते और IE8 के लिए DNS के रूप में IP डुप्लिकेट करने की आवश्यकता है, यदि, निश्चित रूप से, हम IE और FireFox दोनों में काम करना चाहते हैं।
2. अब आप प्रमाण पत्र बना सकते हैं। यहां आपको अपने जीवन को आसान बनाने के लिए विभिन्न मापदंडों के साथ ओपनसेल कॉल के अनुक्रम को निष्पादित करने की आवश्यकता है, मैंने निम्नलिखित सरल स्क्रिप्ट लिखी है:
   

    #!/bin/bash echo "*** Create request for sign ***" openssl req -config conf/openssl.cnf -new -keyout certs/$1.pem -out tmp.pem let ret=$? if let "$ret!=0" then rm tmp.pem echo $ret exit 1 fi echo "*** Create RSA key without password ***" openssl rsa -in certs/$1.pem -out certs/$1.key let ret=$? if let "$ret!=0" then rm tmp.pem echo $ret exit 1 fi echo "*** Sign certificate by our own trusted key ***" openssl ca -config conf/openssl.cnf -policy policy_anything -out certs/$1.pem -infiles tmp.pem let ret=$? if let "$ret!=0" then rm tmp.pem echo $ret exit 1 fi rm tmp.pem echo "*** Create certificate ***" openssl x509 -in certs/$1.pem -out certs/$1.crt let ret=$? if let "$ret!=0" then echo $ret exit 1 fi 

   
   स्टार्टअप पर, उदाहरण के लिए, नए प्रमाणपत्र के नाम को एक पैरामीटर के रूप में पास करना होगा
   

    newcert.sh device 

   
   इस तरह के कॉल से 2 फाइलें बन जाएंगी। डिवाइस आर्ट और डिवाइस।की , यानी। प्रमाणपत्र और इसके लिए कुंजी। स्क्रिप्ट के निष्पादन के दौरान, नए प्रमाणपत्र के लिए पासवर्ड के बारे में सवाल पूछे जाएंगे, साथ ही देश, शहर, कंपनी जिनके लिए प्रमाण पत्र जारी किया गया है। सामान्य नाम फ़ील्ड में, आप किसी भी पंक्ति को निर्दिष्ट कर सकते हैं, उदाहरण के लिए, मेरा शांत उपकरण , सामान्य व्यवहार में, वह डोमेन जिसके लिए प्रमाणपत्र जारी किया गया है, लेकिन हम वैकल्पिक नाम अनुभाग में आईपी पते (और डोमेन) लिखते हैं, ताकि ब्राउज़र डरावने शब्दों में शपथ न लें, लेकिन प्रमाण पत्र देखते समय जाँच का एक सुंदर तरीका दिखाओ।
   

यह सब कैसे लागू करें?

इसलिए, हमने 2 प्रकार के प्रमाण पत्र, एक रूट प्रमाणपत्र और एक उपयोगकर्ता प्रमाणपत्र बनाया है। रूट प्रमाणपत्र आमतौर पर एक बार बनाया जाता है और बाद में उपयोगकर्ता प्रमाणपत्रों पर हस्ताक्षर करने के लिए उपयोग किया जाता है जो हम उपयोगकर्ताओं को वितरित करते हैं, अर्थात्। हमारे उपकरणों पर डाल दिया। हम यह पता लगाएंगे कि उन्हें कैसे लागू किया जाए।
उपयोगकर्ता प्रमाणपत्र और इसकी कुंजी को लक्ष्य डिवाइस पर रखा जाना चाहिए, मेरे पास एआरएम नियंत्रक और लिनक्स पर बोर्ड के साथ एक निश्चित बोर्ड है। मैं इस प्रक्रिया का वर्णन नहीं करूंगा, क्योंकि यह WEB सर्वर पर निर्भर करता है जो हमने वहां स्थापित किया है।
लेकिन रूट प्रमाणपत्र को प्रत्येक उपयोगकर्ता के ब्राउज़र में एक विश्वसनीय प्रमाणीकरण प्राधिकरण के रूट प्रमाणपत्र के रूप में आयात किया जाना चाहिए। केवल इस मामले में ब्राउज़र आपके एम्बेडेड वेब-सर्वर के पृष्ठ में प्रवेश करते समय चेतावनी नहीं दिखाएगा।

फ़ायरफ़ॉक्स 6 (लिनक्स) में एक रूट प्रमाणपत्र आयात करें

फ़ायरफ़ॉक्स 6 में, यह मेनू के माध्यम से किया जाता है प्राथमिकताएँ -> एन्क्रिप्शन -> प्रमाण पत्र देखें , प्राधिकरण टैब का चयन करें।

इसके बाद, आयात पर क्लिक करें और हमारे रूट प्रमाणपत्र ca.crt की फ़ाइल खोलें, जब उपयोग के बारे में पूछा जाए , तो WEB सर्वर की पहचान पर एक चेकमार्क डालें।

और हम अपने प्रमाणपत्र को विश्वसनीय केंद्रों की सूची में देख सकते हैं

IE8 में आयात रूट प्रमाणपत्र (विंडोज 7 64 बिट)

खोज बार में प्रारंभ मेनू में, प्रमाणपत्र टाइप करें और कुंजी संयोजन दबाएं Ctrl + Shift + Enter, व्यवस्थापक अधिकारों के लिए अनुरोध का उत्तर दें। आप प्रमाण पत्र प्रबंधक शुरू करेंगे।
विश्वसनीय रूट प्रमाणन प्राधिकारी अनुभाग पर डबल-क्लिक करें।
प्रमाणपत्र पर राइट क्लिक करें -> सभी कार्य -> ​​आयात ...

प्रमाणपत्र आयात विज़ार्ड लॉन्च होता है, उसके निर्देशों का पालन करें और प्रमाणपत्र के रूप में ca.crt निर्दिष्ट करें। यदि परिणामस्वरूप आपको कोई त्रुटि मिलती है

फिर रजिस्ट्री में कुंजी को सही करें HKEY_LOCAL_MACHINE \ SOFTWARE \ नीतियां \ Microsoft \ SystemCertports \ Root \ ProtectedRoots \ Flags इसे 0 पर सेट करें और प्रमाणपत्र प्रबंधक को पुनरारंभ करें।

निष्कर्ष

हमने एसएसएल प्रमाणपत्रों की कुछ विशेषताओं की जांच की है जो आपको एक ऐसे सिस्टम की पहचान करने की अनुमति देती है जिसमें कई आईपी पते और / या डोमेन नाम हैं, और एम्बेडेड सिस्टम में प्रमाण पत्र का उपयोग करने के लिए सबसे सरल परिदृश्य की भी जांच की। क्या इस परिदृश्य में सुधार किया जा सकता है? बेशक आप कर सकते हैं। उदाहरण के लिए, आप रूट प्रमाणपत्र को डिवाइस पर सीधे बना सकते हैं और अनुरोध पर उपयोगकर्ता को दिया जा सकता है, उदाहरण के लिए, यूएसबी स्टिक पर। इस मामले में, रूट प्रमाणपत्र की चोरी अन्य ग्राहकों से समान उपकरणों के लिए खतरे में नहीं आती है। स्व-हस्ताक्षरित प्रमाण पत्र का उपयोग करना निश्चित रूप से सबसे अच्छा अभ्यास नहीं है, लेकिन कभी-कभी एम्बेडेड सिस्टम के निर्माताओं के लिए यह उनके उपकरणों की न्यूनतम सुरक्षा सुनिश्चित करने का एकमात्र तरीका है।
विश्वसनीय प्रमाणीकरण प्राधिकारी द्वारा हस्ताक्षरित प्रमाण पत्र खरीदते समय उपयोगकर्ता प्रमाणपत्र से संबंधित जानकारी का हिस्सा भी उपयोग किया जा सकता है। इस मामले में, एसएसएल प्रौद्योगिकी प्रदान करने वाली सुरक्षा का उच्चतम स्तर सुनिश्चित किया जाता है।

प्रयुक्त सामग्री:

• Opensl का उपयोग करके कई डोमेन नामों के लिए एक स्व-हस्ताक्षरित SSL प्रमाणपत्र बनाएं
• Free SSLD के तहत Apache के लिए Quick SSL बढ़ाएं
• http://www.openssl.org/docs/