Как проверить версию openssl на windows

Как проверить версию openssl в Windows

Чтобы ваш браузер или система автоматически доверяли всем сертификатам, подписанным CAcert, вы должны указать своей платформе или браузеру доверять корневому сертификату CAcert: http://www.cacert.org/index.php?id=3.

Для всех систем необходимо доверять как корневому сертификату root_X0F.crt , так и сертификату класса 3 class3_x14E228.crt .

Часть этой информации уже содержится в статье Как импортировать корневые сертификаты CAcert в клиентское программное обеспечение, так что ищите там необходимую информацию.

Установка доверия к новому ЦС — это другой процесс на разных платформах, поэтому существует всего несколько способов установить доверие к корневым сертификатам CAcert. Приведенные ниже инструкции являются лишь кратким описанием того, как настроить доверие для одного сертификата. Повторите процесс, чтобы установить доверие и для второго сертификата.

ВНИМАНИЕ: Всегда тщательно проверяйте «отпечаток пальца» загруженного сертификата, прежде чем доверять ему. В противном случае вы можете довериться поддельному корневому сертификату, измененному со злым умыслом.

Mac OS X

Существует два способа установить доверие к корневому сертификату CAcert: один из командной строки, другой из графического пользовательского интерфейса Keychain. Каждый из способов требует входа в учетную запись с правами администратора (администратора).

Использование графического интерфейса связки ключей

Загрузите необходимый сертификат на свой рабочий стол отсюда.

ВНИМАНИЕ: Прежде чем продолжить, проверьте «отпечаток» сертификата! Откройте файл сертификата с помощью Command-O или дважды щелкните файл .

.

Когда появится Связка ключей, выберите связку ключей X509Anchors.

Система попросит вас идентифицировать себяпароль для изменения общесистемной цепочки ключей X509Anchors.

Использование командной строки

10.5 Леопард

Если вы используете 10.5 Leopard и вводите команду certtool в форму выше, вы можете получить следующее сообщение об ошибке:

Решение состоит в использовании команды безопасности add-trusted-cert:

Windows

Описание всех способов импорта этого сертификата в Windows выходит за рамки этой статьи и уже описано в разделе Как импортировать корневые сертификаты CAcert в клиентское программное обеспечение.

Windows: среда cygwin

Нет /etc/ssl ; поэтому вы должны сохранить сертификат в /usr/ssl/certs под его специальным именем.

Вы можете найти местоположение с помощью команды «strace wget https://somesite 2>&1с «отпечатком» Internet Explorer по адресу: http://www.cacert.org/index.php?id=3), где они показаны.) Показанные здесь отпечатки будут отличаться от реальных!

УСТАРЕЛО — конец раздела

PocketPC2002

Существует инструмент, хранящийся в ZIP-файле, для загрузки с http://support.microsoft.com/default.aspx?scid=kb;en-us;322956 (pocketIE на Windows Mobile WM2005 — здесь устройство не может отображать HTML-страница, но другой браузер может). Этот инструмент работает только с самовыданными сертификатами.

  • Установите сертификат ЦС в Internet Explorer как доверенный корневой сертификат.
  • Экспорт сертификата из IE в виде двоичной формы X.509 в кодировке DER (с расширением .CER)
  • Отправьте файл на КПК.
  • В диспетчере файлов найдите нужный сертификат и щелкните его, чтобы открыть и импортировать.
  • После установки сертификата перезагрузите («теплый» перезапуск) КПК, чтобы принудительно загрузить новый сертификат.
  • Чтобы убедиться, что новый сертификат успешно загружен в устройство:

    • В меню «Настройки» выберите вкладку «Система», затем «Сертификаты».
    • Нажмите на вкладку «Корень». Там вы должны увидеть корневой CAcert, который вы только что добавили.

    Примечания

    Для wap1.x-шлюзов нет возможности размещать зашифрованные wap-страницы, если у вашего провайдера wap-шлюза нет сертификата, потому что страница расшифровывается в шлюзе, а не в устройстве.

    Линукс

    Как вам нужно изменить ваш вариант Linux, чтобы доверять корневому сертификату CAcert, зависит от варианта (клона) и версии дистрибутива. У нас есть информация о некоторых вариантах, перечисленных ниже.

    Инструкции по клонированию для Red Hat 5+ , Red Hat 4 и Fedora подлежатОшибка статьи 1344: Неверная инструкция по установке. Читайте дальше для получения дополнительной информации.

    Knoppix: Версии CD новее 3.8 уже имеют сертификаты.

    Red Hat 5+: wget -O - http://www.cacert.org/certs/root_X0F.txt >> /etc/pki/tls/certs/ca-bundle.crt (это будет изменено новыми пакетами RPM для openssl, поэтому, вероятно, это не лучший метод)

    Red Hat 4: Измените указанное выше расположение файла ca-bundle.crt на /usr/share/ssl/certs/ca-bundle.crt

    Fedora: Скопируйте сертификат в /etc/pki/ca-trust/source/anchors/ и запустите update-ca-trust Extract

    Текст от Bug1344 далее поясняет:

    Читайте также:  Как распечатать пробную страницу windows 10

    RHEL 4 устарел и запускается только в особых условиях

    для RHEL поколения 7 применяется то же, что и для Fedora

    Правильная процедура для Fedora — это «update-ca-trust» вместо «update-ca-trust Extract».

    Кроме того, вы можете получить сертификаты обычным способом из Интернета: здесь.

    Дебиан

    Как видно из документа за март 2014 г., Debian больше не распространяет корневые сертификаты CACert как часть своих установочных пакетов.

    Однако корневые сертификаты CAcert можно импортировать следующим образом:

    Вывод должен выглядеть примерно так:

    Это все. Для получения дополнительной информации см. man update-ca-certificates и /usr/share/doc/ca-certificates/README.Debian из пакета ca-certificates . .

    Установка из управления нестабильными (sid) пакетами

    Вы должны добавить нестабильный (sid) в качестве источника пакета, чтобы все пакеты, кроме ca-cacert, не считались версиями решений.

    Отредактируйте файл /etc/apt/preferences с правами root (т.е. с префиксом sudo перед командой редактора), чтобы он содержал:

  • Редактировать /etc/apt/sources.list как rootчтобы он содержал (изменить отступ по предыдущим записям)
  • Редактировать информацию о пакете и установить пакет с помощью команд
  • Доверьтесь новым сертификатам, выполнив интерактивную команду:
  • sudo dpkg-reconfigure ca-certificate

    Следующие сертификаты будут доверенными:

    • CAcert/class3_x14E228.crt
    • CAcert/root_X0F.crt
    Установка из нестабильной версии (sid) вручную

    Внимание: Используйте этот метод установки только в том случае, если вы готовы к трудоемкой проверке подписи. Затем вы будете использовать проверенный файл для следующей установки.

    Найдите и загрузите пакет с packages.debian.org с ожидаемым именем шаблона ca-cacert_ _all.deb .

    Вручную проверьте подпись загруженного файла с помощью Release.gpg, как описано в Secure APT (вики Debian) Установите пакет командой:

    sudo dpkg -i Доверьтесь новым сертификатам, выполнив интерактивную команду:

    sudo dpkg-reconfigure ca-certificate

    Корневой сертификат CAcert можно добавить в хранилище сертификатов KDE, чтобы все приложения KDE, включая Konqueror, доверяли сертификатам, подписанным CAcert.

      Загрузите сертификаты в формате PEM или DER.

    В Центре управления KDE в разделе «Безопасность и конфиденциальность > Crypto» перейдите на страницу «SSL Signers» и нажмите «Import».

  • Выберите загруженный сертификат.
  • Вас может спросить, должен ли сертификат быть также доступен для KMail. Рекомендуется.
  • ВАЖНО! Найдите сертификат в списке (может помочь сортировка по «Организационному подразделению», затем найдите ссылку «http://www.cacert.org»), щелкните по нему и проверьте, виден ли дайджест MD5внизу окна совпадает с тем, что на странице, с которой вы скачали.

    Симбиан

    Нокиа Е61

    Загрузить сертификаты (корневой — класс 1 и промежуточный — класс 3) в формате DER .

  • Скопируйте сертификаты в E61 (E61 не может читать файлы напрямую из Интернета)
  • Откройте каждый сертификат в диспетчере файлов и сохраните его. Вам нужно будет подтвердить это, так как E61 считает сертификаты небезопасными.
  • Обычное расположение ключей — хранилище ключей cacerts:

    • Linux Ubuntu: /usr/lib/jvm/java-$VERSION/jre/lib/security/cacerts
    • Linux SuSE: /usr/java/jre$VERSION/lib/security/cacerts

    Пояснительные примечания:

    1. Имя файла хранилища ключей — «cacerts», а его пароль — «changeit» (предлагается изменить его).
    2. $/PATH/TO/CACERTS/KEYSTORE = заполнитель для пути к файлу «cacerts», включая имя файла.
    3. $VERSION = версия Java, примеры:
      • Linux Ubuntu: «7-openjdk-amd64» — поэтому полный путь, включая имя файла, будет /usr/lib/jvm/java-7-openjdk-amd64/jre/lib/security/cacerts
      • Linux SuSE: «1.8.0_71» — поэтому полный путь, включая имя файла, будет /usr/java/jre1.8.0_71/lib/security/cacerts

    Acrobat Reader

    См. также Adobe Reader и очень кратко о внедрении подписывающих корневых сертификатов в Acrobat Reader.

    Процедура для Acrobat 8:

    Меню «Документ» -> Управление доверенными удостоверениями. (Документ — Доверенные личности)

  • Просмотр: Сертификаты
  • Кнопка «Добавить контакты» (Добавить контакты)
  • «Просмотр» корневых сертификатов
  • Настройте достоверность по своему вкусу. «Подписи и как доверенный корень» — правильный базовый пункт, остальные необязательны.
  • Телефоны и планшеты Android

    До Android версии 4.0, с версиями Android Gingerbread и Froyo, существовал единственный файл только для чтения: ( /system/etc/security/cacerts.bks ), содержащий доверенное хранилище с («системными») сертификатами все центры сертификации, которым Android доверяет по умолчанию. Этот файл используется как системными приложениями, так и всеми приложениями, разработанными с использованием Android SDK (Software Development Kit). Используйте эти инструкции для установки сертификатов CAcert на версии Android Gingerbread, Froyo, .

    Начиная с Android 4.0 (Android ICS/’Ice Cream Sandwich’, Android 4.3 ‘Jelly Bean’ и Android 4.4 ‘Kit Kat’), системные доверенные сертификаты находятся в системном (только для чтения) разделе в папке ‘/ system/etc/security/’ в виде отдельных файлов. Однако теперь пользователи могут легко добавлять свои собственные «пользовательские» сертификаты, которые хранятся в «/data/misc/keychain/certs-added».

    Сертификаты, установленные системой, можно управлять на устройстве Android в меню «Настройки» -> Безопасность -> сертификаты -> «Система» («Настройки» -> «Безопасность» -> «Сертификаты» -> «Система»), а доверенные сертификаты пользователя управляются в разделе «Пользователь». При использовании доверенных сертификатов Android вынуждает пользователя устройства осуществлять дополнительные меры безопасности: разблокировка экрана с помощью PIN-кода, жеста (пароль-блокировка) или другого пароля; эти меры предосторожности являются обязательными при использовании предоставленных пользователем сертификатов.

    Читайте также:  Как сделать кастомный курсор мыши на windows 10

    Установить CAcerts в качестве «доверенных пользователю» сертификатов очень просто. Установка новых сертификатов в качестве «доверенных системе» более трудоемка (и требует доступа администратора [root]), но имеет то преимущество, что Androidне требует блокировки экрана.

    Пользовательские доверенные сертификаты CAcert

    Загрузите файлы корневого сертификата («root_X0F.crt» и «class3_x14E228.crt») во внутреннюю память («/sdcard» или некоторые подпапки). Найдите эту папку в файловом менеджере и откройте «root_X0F.crt». Хотя вы можете не видеть здесь значок сертификата, а файлы будут отмечены значком «?», файлы будут открыты менеджером сертификатов, который запросит у вас описательное имя/имя сертификата. быть импортированным. Если это первый сертификат пользователя, который вы устанавливаете, модель безопасности Android заставит вас использовать экран блокировки для разблокировки устройства (см. «Доверенные сертификаты системы CAcert», если вы действительно хотите этого избежать). Повторите то же самое с файлом class3_x14E228.crt. Убедитесь, что оба файла сертификата установлены правильно: Настройки -> Безопасность -> Сертификаты -> Пользователь (в разделе «Настройки» -> «Безопасность» -> «Сертификаты» -> «Пользователь» уже должны отображаться установленные на данный момент сертификаты.

    Системные доверенные сертификаты CAcert (без блокировки экрана)

    Существующий метод импорта пользовательских сертификатов работает хорошо, но имеет недостаток, заключающийся в том, что каждый раз при установке пользовательских сертификатов требуется ввод PIN-кода/пароля экрана блокировки. Благодаря установке CAcerts в качестве системных сертификатов эти файлы лучше защищены от манипуляций со стороны вредоносных приложений, а экран блокировки отсутствует (только «Проведите для разблокировки» или вообще отсутствует). Вам потребуется доступ администратора (root) к телефону; или, по крайней мере, временные, и система с программным обеспечением openssl для создания новых сертификатов.

    Следующие шаги покажут вам, как создавать файлы сертификатов, совместимые с Android, изоригинальные файлы сертификатов CAcert, как установить/импортировать их на устройство Android и как проверить правильность установки.

    В Android версии 4.4.2 можно сохранять сертификаты как «пользовательские» (Android сам создает их правильные имена, полученные из хэша), а затем программа Android, такая как Terminal, adb shell или Ghost Commander, перемещает их в системное хранилище. Если вы сделаете это, перейдите к абзацу «Импорт» и используйте подкаталог «/data/misc/keychain/cacerts-added», где Android хранит «пользовательские» сертификаты вместо указанного там исходного подкаталога «/sdcard». Не копируйте корневые CAcerts, а переместите их!

    Создание

    Из исходных файлов корневого сертификата CAcert мы создадим файлы сертификатов, совместимые с Android.

    Оба файла 5ed36f99.0 и e5662767.0 готовы к загрузке с хэшами для проверки здесь

    Мы получаем корневые сертификаты CAcert с веб-сайта cacert.org: https://www.cacert.org/index.php?id=3 Мы загружаем их в формате PEM: (root_X0F.crt) и ключ класса 3 PKI также в Формат PEM (class3_x14E228.crt) Получаем хэш сертификата root_X0F.crt:

    Это покажет вам хэш, который в случае файла CAcert PEM ‘root_X0F.crt’ равен 5ed36f99 (вы должны ввести ‘-subject_hash_old’ вместо ‘-subject_hash’, так как вам нужен хеш-совместимый с openssl 0.9) Мы будем использовать это значение, дополнив «.0» (точка и ноль) и используя результат в качестве имени файла для получившегося сертификата Android:

    Повторите эти шаги для сертификата PEM класса 3, файл class3_x14E228.crt. Если все пойдет хорошо, вы получите файлы 5ed36f99.0 и e5662767.0 (если вы получили хеш-значения 590d426f и 99d0fa06, вы не использовали ‘-subject_hash_old’ параметр в openssl).

    Контроль хэшей сертификатовфайлы:

    Импорт

    Теперь у нас есть файлы сертификатов, совместимые с Android, и мы будем импортировать их в «системное» хранилище сертификатов Android. Условие — вы получаете права суперпользователя и можете писать/удалять из системных подкаталогов. Для этого необходимо, чтобы в системе Android была установлена ​​программа «su» ( s uper u ser), которая даст вам права суперпользователя — системного администратора. Некоторые телефоны не включают эту программу в систему, и тогда вы ограничены сохранением всех добавленных сертификатов только как «пользовательские».

    Скопируйте файлы в папку /sdcard либо с помощью файлового менеджера, либо с помощью adb push . Перейдите в оболочку adb ( оболочка adb из командной строки) или откройте приложение «терминал» на устройстве Android. Вы увидите командную строку, подобную этой: shell@android:/ $ Получите права суперпользователя или администратора (superuser/root), необходимые для выполнения привилегированных действий:

    Изменить права доступа к папке /system на запись (после перезагрузки они снова будут только для чтения):

    Читайте также:  Как настроить диспетчер устройств на windows 10

    Скопируйте новые файлы сертификатов в нужную папку на вашем Android-устройстве:

    Изменить права доступа к файлу на u=rw, g=r, o=r (u = владелец, g = группа, o = другие; r = чтение-4, w = запись-2):

    Проверьте, в порядке ли файлы:

    Опустите ‘-Z’, если вы используете версию Android, отличную от SElinux, это просто указывает на дополнительную безопасность, которая может быть полезна, если у вас возникнут проблемы.

    Помимо других стандартных файлов сертификатов Android, вы увидите два новых файла:

    Сертификаты будут установлены при следующей загрузке (холодная перезагрузка, выключение/включение питания) вашего устройства, поэтому сделайте следующее:

    Аутентификация

    Чтобы убедиться, что сертификаты установлены правильно, перейдите в «Настройки» -> Безопасность -> Сертификаты (Настройки -> Безопасность ->Сертификаты). Там вы должны увидеть как «CAcert Inc.», так и «Root CA» в дополнение к другим сертификатам в разделе «Система». Убедитесь, что эти сертификаты также не находятся в разделе «Пользователь». Посетите https://www.cacert.org со своего устройства Android. Если вы не видите предупреждения об отсутствующих или ненадежных сертификатах, все в порядке.

    Некоторые браузеры могут использовать собственное хранилище сертификатов вместо хранилища Android; тогда вам, вероятно, потребуется также импортировать файлы сертификатов в эти браузеры.

    Если вы не можете отключить экран блокировки Android (PIN/шаблон) после установки системных сертификатов, вам может понадобиться функция «Очистить/удалить учетные данные» (Настройки -> Безопасность [Настройки -> Безопасность]), хотя при этом будут удалены все пользовательские сертификаты.

    В случае возникновения проблем сравните сумму md5 файлов сертификатов со значениями md5, указанными в этой статье, также проверьте разрешения вновь установленных файлов. Убедитесь, что сертификат пользователя не установлен (Настройки -> Безопасность -> Очистить сертификаты [Настройки -> Безопасность -> Очистить сертификаты]), и используйте браузер, который использует сертификаты из магазина Android, не имеет собственного хранилища .

    В будущем на Android могут использоваться более поздние версии openssl. Если это так, вам нужно удалить часть «_old» из параметра openssl «-subject_hash_old».

    Ссылки

    Вики CyanogenMod (старая) — статья о добавлении CA без запроса PIN-кода (ошибка, когда хэш сертификата не используется в качестве имени файла)

    Palm Pre (webOS)

    Начиная с webOS 1.2, процесс добавления корневых сертификатов в Palm Pre чрезвычайно прост и может выполняться непосредственно на телефоне.

    В предварительном браузере перейдите кhttp://www.cacert.org/index.php?id=3 или http://www.cacert.org и нажмите «Корневые сертификаты»

    .

    В классе 1 щелкните ссылку Корневой сертификат (формат PEM) В нижней части экрана появится серый индикатор выполнения. Когда сертификат будет полностью загружен, в правой части панели появится стрелка

    .

    На панели, содержащей root_X0F.crt , нажмите на указанную стрелку

  • Появится Диспетчер сертификатов, который предоставит вам возможность просмотреть детали и принять или отклонить сертификат
      .
    • К сожалению, на этом экране нет «отпечатка пальца», поэтому его невозможно проверить.
  • Нажмите кнопку «Доверять сертификату»
  • Примечание: Для систем webOS ниже 1.2 необходимо скопировать файлы .crt в память телефона в режиме USB, вызвать диспетчер сертификатов (Информация об устройстве; Дополнительная информация (кнопка вниз); Диспетчер сертификатов (меню «Настройки» выше) и импортировать сертификаты (значок в левом нижнем углу экрана для их поиска).

    Как убедиться, что они подлинные?

    Существует множество способов убедиться, что у вас есть подлинные, неизмененные копии корневых сертификатов; все, что вам нужно, это иметь доверенную страницу, на которой вы проверяете «отпечатки пальцев». Иногда доверенной стороной является дистрибьютор вашей системы, но вы также можете проверить их самостоятельно.

      Если ваша система была указана выше, вы можете использовать соответствующие инструкции, чтобы убедиться, что у вас есть подлинная копия корневых сертификатов CAcert.

    Вы можете загрузить сертификаты отсюда и проверить их вручную.

    Поиск нужных «отпечатков пальцев» (отпечатков пальцев)

    CAcert пытается предоставить несколько мест, где можно проверить «отпечатки пальцев» сертификатов. Далее мы перечислим известные способы поиска подлинных копий «отпечатков пальцев» корневых сертификатов CAcert.

    Здесь вы можете расшифровать сообщение, подписанное GPG, и сравнить «отпечатки пальцев» сертификатов, содержащихся в сообщении, с «отпечатками пальцев», полученными из загруженных вами сертификатов. Получите печатную копию формы обязательства (CAP); спросите об этом на следующем мероприятии.

    Найдите их в Impressum of Linux Magazin.

    В настоящее время CAcert работает над предоставлением «отпечатков пальцев» следующими дополнительными способами:

    • Визитные карточки с напечатанными «отпечатками пальцев».
    • Публикация «отпечатков пальцев» в других журналах.

    Часто задаваемые вопросы/ImportRootCert/CZ (последним исправленным мужчиной AlesKastner 13.07.2021 21:43:15)

    Поделиться с друзьями
    ОС советы