这是一个创建于 3647 天前的主题,其中的信息可能已经有所发展或是发生改变。
ocserv 的用的自签名证书,买了个 Positive SSL 想换上去
现在手上有一个生成的 key 和 csr ,一个发过来的 ca-bundle 和一个 crt
。。然后完全不知道怎么生成服务器证书 orz ,搜了一圈都没搜到,只能来伸个手了
第一次用证书,满地滚卖萌求教程
现在手上有一个生成的 key 和 csr ,一个发过来的 ca-bundle 和一个 crt
。。然后完全不知道怎么生成服务器证书 orz ,搜了一圈都没搜到,只能来伸个手了
第一次用证书,满地滚卖萌求教程
 | 1 alect 2015-10-19 18:53:24 +08:00 购买的证书只是可以让你链接服务器的时候不会提示证书不可信,并不是让你用来做登录验证的。 如果要使用证书登录而不是密钥登录,需要自己生成根证书与子证书用于登录验证。 |
 | 2 xfspace 2015-10-19 18:56:59 +08:00 Positive SSL 是域名证书...和登录证书是不一样的 |
 | 5 EPr2hh6LADQWqRVH 2015-10-19 19:07:03 +08:00 你本地信任自己的根证书不就行了么 |
| 6 alect 2015-10-19 19:09:34 +08:00 @wkdhf233 你证书链没加完全。 comodo 的证书链比较长 把 crt 文件用文本编辑工具打开,然后把 ca-bundle 那个文件的内容附在 crt 文件的后面,合并成 ssl.pem key 文件保存为 key.pem server-cert = /etc/ocserv/ssl.pem server-key = /etc/ocserv/key.pem |
 | 8 isis 2015-10-19 19:17:41 +08:00  1 @xfspace @wkdhf233 这半年各种姿势都用过,无奈搬瓦工超售成狗。。 OCServ 、 IKEV2 、 SSTP 、 SSL 的证书增强密钥用法都是一样的,都是[保证远程计算机的身份],[向远程计算机证明你的身份],只要证书的 common name 或者 dns name 里面包含服务器的域名就可以了。。。 之前 wosign 还能申请到三年免费证书的时候我就申请了一个证书(穷,自己生成 CSR 就好,不要用他在线生成的 Key ,阴谋论。。。),这四种用途都可以无不可信提示。。 server-cert = /etc/ocserv/pki/server/server.crt server-key = /etc/ocserv/pki/server/server.key ca-cert = /etc/ocserv/pki/ca/ca.crt server 证书是商业 ca 给你发的,可以消除不可信提示 ca 证书是你自己发的,用于客户端证书登录 客户端都不需要信任 ca ,有用这个 ca 颁发的证书和私钥就可以,亲测。。。 |
| 9 isis 2015-10-19 19:19:49 +08:00 令: server.crt 里面需要补全证书链 |
Select Language