Как удалить ssl сертификат с сайта ubuntu
Перейти к содержимому

Как удалить ssl сертификат с сайта ubuntu

  • автор:

Сертификаты

Одной из наиболее распространенных форм криптографии сегодня является криптография на открытых ключах. Криптография на открытых ключах использует открытый (public) и закрытый (secret) ключи. Система выполняет шифрование с использованием открытого ключа. Расшифрована такая информация может быть только с использованием закрытого ключа.

Обычное использование криптографии на открытых ключах — шифрование трафика приложений с использованием соединений по протоколам SSL и TLS. Например, настройка Apache для предоставления HTTPS, протокола HTTP поверх SSL . Это позволяет применить шифрование трафика с протоколом, который сам по себе шифрование не поддерживает.

Сертификат — это метод, используемый для распространения открытого ключа и другой информации о сервере и организации, ответственной за него. Сертификаты могут иметь цифровую подпись, сделанную Центром сертификации или CA. CA — это третья сторона, которая подтверждает, что информация, содержащаяся в сертификате, верна.

Типы сертификатов

Для установки безопасного сервера с использованием криптографии на открытых ключах в большинстве случаев вы посылаете свой запрос на сертификат (включающий ваш открытый ключ), подтверждение идентичности вашей компании и оплату центру сертификации. Центр проверяет запрос на сертификат и вашу идентичность, и затем отсылает в ответ сертификат для вашего сервера. В качестве альтернативы вы можете использовать самоподписанный сертификат.

Обратите внимание, что самоподписанный сертификат не может быть использованным в большинстве производственных сред.

Продолжая пример с HTTPS, сертификат, подписанный CA, предоставляет два важных свойства в отличие от самоподписанного сертификата:

Браузеры (обычно) автоматически распознают такой сертификат и позволяют устанавливать защищенные соединения без предупреждения пользователя.

Когда CA выпускает подписанный сертификат, он гарантирует идентичность организации, которая предоставляет интернет страницы браузеру.

Большинство интернет браузеров и компьютеров, которые поддерживают SSL имеют список центров сертификации, чьи сертификаты они автоматически принимают. Если браузер встречает сертификат, чей заверяющий центр не попал в этот список, он запрашивает пользователя на подтверждение или запрет соединения. При этом другие приложения могут выдавать сообщения об ошибке, когда используется самоподписанный сертификат.

Процесс получения сертификата из CA довольно прост. Короткий обзор его приведен ниже:

Создайте пару из открытого и закрытого ключей.

Создайте запрос на сертификат на основе открытого ключа. Запрос на сертификат содержит информацию о вашем сервере и управляющей им компании.

Пошлите запрос на сертификат вместе с документами, подтверждающими вашу идентичность, в CA. Мы не можем сказать вам какой центр сертификации выбрать. Ваше решение может основываться на вашем прошлом опыте, опыте ваших друзей и коллег или исключительно на факторе цены. Как только вы определитесь с CA, вам надо следовать их инструкциям по тому, как получить у них сертификат.

Когда центр убедится, что вы действительно тот, за кого себя выдаете, они отправят вам цифровой сертификат.

Установите это сертификат на ваш защищенный сервер и настройте соответствующие приложения на его использование.

Создание запроса на подпись сертификата (CSR)

Вне зависимости от того получаете ли вы сертификат от CA или создаете самоподписаный, первым шагом будет создание ключа.

Если сертификат будет использоваться системными сервисами такими, как Apache, Postfix, Dovecot и т.п., уместно создать ключ без пароля. Отсутствие пароля позволяет сервису стартовать с минимальным ручным вмешательством, обычно это предпочтительный вариант запуска сервиса.

В этой секции показано как создать ключ с кодовым словом (паролем) и без него. Беспарольный ключ затем будет использован для создания сертификата, который можно использовать для различных системных сервисов.

Запуск вашего защищенного сервиса без кодовой фразы удобен потому, что вам не потребуется вводить ее при каждом старте данного сервиса. Однако это небезопасно и компрометация ключа будет означать и компрометацию сервера.

Для генерации ключей CSR запроса, запустите следующую команду из терминала:

openssl genrsa -des3 -out server.key 2048
Generating RSA private key, 2048 bit long modulus . ++++++ . ++++++ e is 65537 (0x10001) Enter pass phrase for server.key:

Теперь вы можете ввести вашу кодовую фразу. Для лучшей безопасности рекомендуется использовать не менее восьми символов. Минимальная длина при использовании -des3 — 4 символа. Фраза должна включать цифры и/или знаки препинания и не должно быть словом из словаря. Также не забывайте, что ваша фраза будет чувствительна к регистру.

Повторите ввод для проверки. В случае корректного ввода ключ сервера будет создан и записан в файл server.key.

Теперь создадим небезопасный ключ, без кодовой фразы и поменяем имена ключей:

openssl rsa -in server.key -out server.key.insecure mv server.key server.key.secure mv server.key.insecure server.key

Небезопасный ключ теперь называется server.key и вы можете использовать его для создания CSR без кодовой фразы.

Для создания CSR выполните следующую команду в терминале:

openssl req -new -key server.key -out server.csr

У вас будет запрошена кодовая фраза (при использовании ключа с паролем — прим. пер.). Если введена корректная фраза, у вас запросят название компании, имя сайта, email и пр. Как только вы введете все эти подробности, будет создан запрос CSR и сохранен в файл server.csr.

Теперь вы можете оправить CSR файл в центр сертификации для обработки. CA использует этот файл для выпуска сертификата. С другой стороны, вы можете создать и самозаверенный сертификат, используя этот же CSR.

Создание самоподписанного сертификата

Для создания самоподписанного сертификата, запустите следующую команду в терминале:

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

Эта команда попросит вас ввести кодовую фразу. Как только вы введете корректную фразу, ваш сертификат будет создан и сохранен в файл server.crt.

Если ваш защищенный сервер будет использован в производстве, вам, возможно, потребуется сертификат, подписанный центром сертификации. В этом случае использование самоподписанных сертификатов не рекомендуется.

Установка сертификата

Вы можете установить файлы ключа server.key и сертификата server.crt (или файл сертификата, выданный вашим CA), запуском следующих команд в терминале:

sudo cp server.crt /etc/ssl/certs sudo cp server.key /etc/ssl/private

Теперь просто настройте любое приложение с возможностью использования криптографии на открытых ключах для использования этих файлов ключа и сертификата. Например, Apache может предоставить HTTPS, Dovecot предоставляет IMAPS и POP3S, и т.д.

Центр сертификации

Если сервисы вашей сети требуют больше чем самозаверенные сертификаты, может быть полезным дополнительное усилие по установке вашего собственного внутреннего центра сертификации (CA). Использование сертификатов, подписанных вашим центром, позволяют различным сервисам использовать сертификаты для простого доверия другим сервисам, использующих сертификаты, выданные тем же CA.

1. Сначала создайте каталоги для хранения сертификата CA и необходимых файлов:

sudo mkdir /etc/ssl/CA sudo mkdir /etc/ssl/newcerts

2. Центр сертификации требует несколько дополнительных файлов для своей работы; один для хранения последнего серийного номера, использованного CA, другой для записи какие сертификаты были выпущены:

sudo sh -c "echo '01' > /etc/ssl/CA/serial" sudo touch /etc/ssl/CA/index.txt

3. Третий файл — это файл настроек CA. Хотя он не строго обязателен, но очень удобен для выпуска множества сертификатов. Отредактируйте /etc/ssl/openssl.cnf, изменив секцию [ CA_default ]:

dir = /etc/ssl/ # Where everything is kept database = $dir/CA/index.txt # database index file. certificate = $dir/certs/cacert.pem # The CA certificate serial = $dir/CA/serial # The current serial number private_key = $dir/private/cakey.pem# The private key

4. Далее создайте самоподписанный сертификат:

openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650

Вам будут заданы вопросы по деталям сертификата.

5. Теперь установим корневой сертификат и ключ:

sudo mv cakey.pem /etc/ssl/private/ sudo mv cacert.pem /etc/ssl/certs/

6. Теперь вы готовы приступить к выпуску сертификатов. Первое, что вам потребуется — запрос на сертификат (CSR). Смотрите детали в разделе Создание запроса на подпись сертификата (CSR). Получив CSR, введите следующую команду для создания сертификата, подписанного нашим центром:

sudo openssl ca -in server.csr -config /etc/ssl/openssl.cnf

После ввода пароля для ключа CA у вас запросят подтверждение на подпись сертификата и еще одно на сохранение нового сертификата. Затем вы сможете увидеть нечто с объемным выводом, относящееся к созданию сертификата.

7. Теперь у вас должен появиться новый файл /etc/ssl/newcerts/01.pem, с таким же содержанием, что и в предыдущем выводе. Выделите и скопируйте все, начиная со строки ——BEGIN CERTIFICATE—— и до строки ——END CERTIFICATE—— в файл с названием по сетевому имени сервера, где он будет установлен. Например, mail.example.com.crt — вполне хорошее описательное имя.

Последующие сертификаты будут иметь имена 02.pem, 03.pem и т.д.

Замените mail.example.com.crt на ваше собственное описательное имя.

8. Наконец, скопируйте новый сертификат на компьютер, для которого он выпущен, и настройте соответствующие приложения на его использование. Место по умолчанию для установки сертификатов — каталог /etc/ssl/certs. Это позволяет многим сервисам использовать один и тот же сертификат без чрезмерного усложнения прав доступа к файлу.

Для приложений, которые могут быть настроены на использование сертификата CA, вы можете скопировать файл /etc/ssl/certs/cacert.pem в каталог /etc/ssl/certs/ на каждом сервере.

Ссылки

Для более детальных инструкций по использованию криптографии смотрите SSL Certificates HOWTO на tlpd.org.

Удалить старый сертификат (debian)?

Никак не могу найти как удалить сертификат, гугл в основном показывает как «заглушить», а мне бы удалить нормально и по новой запросить, на новых машинах все работает.

сервер на debain 5

в /etc/ssl/certs очень много файлов, какой из них удалять непонятно.

site:~# curl -Iv https://***.**/*** * About to connect() to *** port 443 (#0) * Trying ***. connected * Connected to *** (***) port 443 (#0) * successfully set certificate verify locations: * CAfile: none CApath: /etc/ssl/certs * SSLv3, TLS handshake, Client hello (1): * SSLv3, TLS handshake, Server hello (2): * SSLv3, TLS handshake, CERT (11): * SSLv3, TLS alert, Server hello (2): * SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed * Closing connection #0 curl: (60) SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed More details here: http://curl.haxx.se/docs/sslcerts.html curl performs SSL certificate verification by default, using a "bundle" of Certificate Authority (CA) public keys (CA certs). The default bundle is named curl-ca-bundle.crt; you can specify an alternate file using the --cacert option. If this HTTPS server uses a certificate signed by a CA represented in the bundle, the certificate verification probably failed due to a problem with the certificate (it might be expired, or the name might not match the domain name in the URL). If you'd like to turn off curl's verification of the certificate, use the -k (or --insecure) option.
  • Вопрос задан более трёх лет назад
  • 7161 просмотр

Удаление ненужного сертификата от letsencrypt

Был получен сертификат от letsencrypt с помощью клиента certbot. Этот сертификат больше не нужен, как можно удалить его?

Отслеживать
задан 3 июл 2017 в 18:24
9,395 7 7 золотых знаков 24 24 серебряных знака 57 57 бронзовых знаков

3 ответа 3

Сортировка: Сброс на вариант по умолчанию

В документации certbot описано 2 шага для удаления сертификата:

  • certbot revoke —cert-path /etc/letsencrypt/live/CERTNAME/cert.pem — удаляет информацию с серверов letsenrypt
  • certbot delete —cert-name example.com — удаляет сертификаты и все симлинки на локальном сервере

Отслеживать
9,395 7 7 золотых знаков 24 24 серебряных знака 57 57 бронзовых знаков
ответ дан 3 июл 2017 в 19:39
Андрей Миндубаев Андрей Миндубаев
875 8 8 серебряных знаков 18 18 бронзовых знаков

по поводу клиента certbot в обсуждении рекомендуют следующее:

    создать (если ещё нет) резервную копию каталога /etc/letsencrypt :

$ sudo cp -a /etc/letsencrypt
$ sudo rm -r /etc/letsencrypt/live/domain.tld/ /etc/letsencrypt/archive/domain.tld/ /etc/letsencrypt/renewal/domain.tld.conf 

�� Как удалить сертификат Let’s Encrypt с помощью Certbot

Мануал

Автор cryptoparty На чтение 1 мин Опубликовано 07.06.2022

Certbot – это бесплатный программный инструмент с открытым исходным кодом, используемый для управления сертификатами Let’s Encrypt.

Этот инструмент позволяет пользователям выдавать сертификаты одной командой, а также настраивать веб-серверы.

По умолчанию certbot хранит все клиентские сертификаты в нижеуказанных каталогах.

Мы не рекомендуем вам удалять файлы вручную.

В этом руководстве мы рассмотрим удаление неиспользуемых SSL-сертификатов с помощью командной строки Certbot.

  • /etc/letsencrypt/live
  • /etc/letsencrypt/renewal
  • /etc/letsencrypt/archive

Удаление SSL-сертификата Let’s Encrypt

Certbot также предоставляет возможность автоматического удаления сертификатов.

Чтобы удалить SSL-сертификат, выполните следующую команду

sudo certbot delete 

Эта команда покажет вам индекс, из которого вы можете выбрать доменное имя для удаления связанного с ним сертификата.

Просто введите номер индекса доменного имени, которое вы хотите удалить, и нажмите клавишу Enter.

Выданный сертификат, включая другие связанные с ним файлы, будет удален.

Вы также можете указать имя домена с помощью команды certbot, как показано ниже.

Это может быть полезно, если имя домена не отображается в списке индексов.

sudo certbot delete --cert-name example.com

Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!

Добавить комментарий Отменить ответ

Поддержать нас

  • Аудит ИБ (49)
  • Вакансии (12)
  • Закрытие уязвимостей (109)
  • Книги (26)
  • Мануал (2 355)
  • Медиа (65)
  • Мероприятия (38)
  • Мошенники (22)
  • Обзоры (824)
  • Обход запретов (33)
  • Опросы (3)
  • Скрипты (123)
  • Статьи (350)
  • Философия (140)
  • Юмор (19)

Наш Telegram

Социальные сети
Поделиться

Anything in here will be replaced on browsers that support the canvas element

  • �� ASSH: усовершенствованный способ взаимодействия с SSH 04.03.2024

ASSH или Advanced SSH Config – это обертка для SSH, которая позволяет динамически и расширенно управлять конфигурациями SSH. Стандартные конфигурации SSH могут быстро стать сложными и трудноуправляемыми, особенно в средах с большим количеством серверов. ASSH предлагает решение этой проблемы путем создания уровня абстракции. Это повышает эффективность использования возможностей файла конфигурации SSH. Например, если у вас […]

Polkit – это фреймворк авторизации, установленный в каждом современном дистрибутиве Linux: он предоставляет API, позволяющие привилегированным приложениям предоставлять сервисы непривилегированным субъектам. Общение с Polkit происходит по шине D-Bus, которая представляет собой систему IPC (Interprocess Comunication); чтобы понять, как работает первая, нужно сначала разобраться, как реализована вторая. В этом руководстве мы поговорим о Polkit, посмотрим, как […]

В современном мире корпоративной информационной среды, где облачные технологии играют ключевую роль, возникает необходимость в миграции данных между тенантами. Это может быть вызвано различными причинами: от слияния и поглощения компаний до изменения стратегических направлений в IT-инфраструктуре. В таких ситуациях важно, чтобы процесс был выполнен гладко, без сбоев и простоев, что существенно влияет на бизнес-процессы компании. […]

Введение В этом руководстве мы поговорим о загрузочном разделе и рекомендуемом идеальном размере раздела в случае различных операционных систем. Что такое загрузочный раздел? Загрузочный раздел, также называемый загрузочным томом или диском, – это раздел устройства хранения данных, например жесткого диска, SSD или раздела на большом диске, содержащий важные файлы для запуска компьютера. Он содержит важные […]

Ключи SSH (Secure Shell) – это пара криптографических ключей, используемых для аутентификации на сервере SSH в качестве альтернативы входам, основанным на пароле. Пара ключей состоит из открытого ключа, которым вы можете свободно делиться, и закрытого ключа, который должен храниться в безопасности. Формат PEM, расшифровывающийся как Privacy Enhanced Mail, – это широко используемый формат для хранения […]

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *