[Sysadmins] SSL

ALT Linux sysadmins discussion
 help / color / mirror / Atom feed

* [Sysadmins] SSL
@ 2006-12-19 19:30 Anton Gorlov
  2006-12-19 20:14 ` Konstantin A. Lepikhov
  2006-12-21 11:02 ` Alexey Borovskoy
  0 siblings, 2 replies; 9+ messages in thread
From: Anton Gorlov @ 2006-12-19 19:30 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

ПОнадобилось сгенерит кучку сертефикатов для апача.. Так как давно не 
делал этого решил воспользоваться запиской на freesource.info

CA.pl -newca
openssl req -new -nodes -keyout newreq.pem -out newreq.pem
CA.pl -sign
openssl rsa < newreq.pem > newkey.pem

Прописал всё это дело в апаче
Результат - всякие ff/opera/mozilla и konqueror без проблем проглотили
сертефикат.

А IE однако не захотел кушать такой сетефикат со словами что не достаточно
информации..вернее он его кушает,даже типа устанавливает..но не как 
корневой и
при следующем заходе опять спрашивает что делать.

погуглил. нашёл некий рецепт в виде

openssl pkcs12 -export -in server_cert.pem -inkey server_key.pem -out 
iestuff.p12

Потом засунул iestuff.p12 в ие... Фиг - всё равно гвоорит что сертефикат 
подписан неизвесной стороной.

Временно сгенерил сертефикат с помощью

openssl genrsa  2048 >hostkey.pem
openssl req -config host.conf  -new -x509 -nodes -sha1 -days 365 -key
hostkey.pem > hostcert.pem

и
+#    SSLCACertificatePath /etc/apache2/cert
+#    SSLCACertificateFile /etc/apache2/cert/cacert.pem

При таком раскладе IE таки предлагает устанвоить сертефикат как корневой 
и всё такое... но хотелсоь бы имет ь1 корневой и им уже подписывать всё 
остальное. Вопрос -что пропустил при чтении манов?
-- 
   np: silence

^ permalink raw reply	[flat|nested] 9+ messages in thread

* Re: [Sysadmins] SSL
  2006-12-19 19:30 [Sysadmins] SSL Anton Gorlov
@ 2006-12-19 20:14 ` Konstantin A. Lepikhov
  2006-12-19 21:12   ` Anton Gorlov
  2006-12-21 11:02 ` Alexey Borovskoy
  1 sibling, 1 reply; 9+ messages in thread
From: Konstantin A. Lepikhov @ 2006-12-19 20:14 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

[-- Attachment #1: Type: text/plain, Size: 412 bytes --]

Hi Anton!

Tuesday 19, at 10:30:26 PM you wrote:

...
> При таком раскладе IE таки предлагает устанвоить сертефикат как корневой 
> и всё такое... но хотелсоь бы имет ь1 корневой и им уже подписывать всё 
> остальное. Вопрос -что пропустил при чтении манов?
В вашем случае не совсем понятно, что вы хотите получить - корневой
сертификат нельзя использовать как клиенский и наоборот.

-- 
WBR et al.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 9+ messages in thread

* Re: [Sysadmins] SSL
  2006-12-19 20:14 ` Konstantin A. Lepikhov
@ 2006-12-19 21:12   ` Anton Gorlov
  2006-12-19 21:35     ` Konstantin A. Lepikhov
  0 siblings, 1 reply; 9+ messages in thread
From: Anton Gorlov @ 2006-12-19 21:12 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Konstantin A. Lepikhov пишет:

>> При таком раскладе IE таки предлагает устанвоить сертефикат как корневой 
>> и всё такое... но хотелсоь бы имет ь1 корневой и им уже подписывать всё 
>> остальное. Вопрос -что пропустил при чтении манов?
> В вашем случае не совсем понятно, что вы хотите получить - корневой
> сертификат нельзя использовать как клиенский и наоборот.

Это понятно..в конечном счёте нужно - что бы при заходе на некий ресурс 
пользователю было предложено 1 раз усстановить сертефикат и всё.. что бы 
каждый раз не спрашивалось принимать этот сертефикат или нет..



-- 
   np: silence


^ permalink raw reply	[flat|nested] 9+ messages in thread

* Re: [Sysadmins] SSL
  2006-12-19 21:12   ` Anton Gorlov
@ 2006-12-19 21:35     ` Konstantin A. Lepikhov
  2006-12-20  5:51       ` Anton Gorlov
                         ` (2 more replies)
  0 siblings, 3 replies; 9+ messages in thread
From: Konstantin A. Lepikhov @ 2006-12-19 21:35 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

[-- Attachment #1: Type: text/plain, Size: 769 bytes --]

Hi Anton!

Wednesday 20, at 12:12:53 AM you wrote:

> Konstantin A. Lepikhov пишет:
> 
> >> При таком раскладе IE таки предлагает устанвоить сертефикат как корневой 
> >> и всё такое... но хотелсоь бы имет ь1 корневой и им уже подписывать всё 
> >> остальное. Вопрос -что пропустил при чтении манов?
> > В вашем случае не совсем понятно, что вы хотите получить - корневой
> > сертификат нельзя использовать как клиенский и наоборот.
> 
> Это понятно..в конечном счёте нужно - что бы при заходе на некий ресурс 
> пользователю было предложено 1 раз усстановить сертефикат и всё.. что бы 
> каждый раз не спрашивалось принимать этот сертефикат или нет..
купите сертификат ;) или скажите всем пользователям поставить ваш cacert к
себе.

-- 
WBR et al.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 9+ messages in thread

* Re: [Sysadmins] SSL
  2006-12-19 21:35     ` Konstantin A. Lepikhov
@ 2006-12-20  5:51       ` Anton Gorlov
  2006-12-22 19:12       ` Anton Gorlov
  2007-04-03 14:26       ` Igor Zubkov
  2 siblings, 0 replies; 9+ messages in thread
From: Anton Gorlov @ 2006-12-20  5:51 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Konstantin A. Lepikhov пишет:

> купите сертификат ;) или скажите всем пользователям поставить ваш cacert к
> себе.

В том то и фиг..что сертефикат который сгенерил через
openssl genrsa и потом
openssl req

ИЕ скуал без проблем. -1 раз спросил что с ним делать,сказл 
устанвоить..добавил его в коневые и всё. А тот серетфикат что генерил 
через CA даже если добавить руками в корневые - всё равно каждый раз 
спрашивает принимать или нет.. Причём есть припискам -читр мол дял 
првоерка данного серетфиката недостаточно информации..какой именно - не 
говорит.

-- 
   np: silence

^ permalink raw reply	[flat|nested] 9+ messages in thread

* Re: [Sysadmins] SSL
  2006-12-19 19:30 [Sysadmins] SSL Anton Gorlov
  2006-12-19 20:14 ` Konstantin A. Lepikhov
@ 2006-12-21 11:02 ` Alexey Borovskoy
  1 sibling, 0 replies; 9+ messages in thread
From: Alexey Borovskoy @ 2006-12-21 11:02 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Anton Gorlov пишет:
> ПОнадобилось сгенерит кучку сертефикатов для апача.. Так как давно не 
> делал этого решил воспользоваться запиской на freesource.info

Я их tinyca2 генерю. Скармливать их IE не пробовал.

- --
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63 2753 E37A 9E3F 11F3 BDE1
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org

iD8DBQFFimmy43qePxHzveERAmRPAKCtiupQJeq2oaXJKLQQbSBWEkNs0QCcDx8x
c8z6Ph33X6bNwveLg/oapKg=
=yUBS
-----END PGP SIGNATURE-----


^ permalink raw reply	[flat|nested] 9+ messages in thread

* Re: [Sysadmins] SSL
  2006-12-19 21:35     ` Konstantin A. Lepikhov
  2006-12-20  5:51       ` Anton Gorlov
@ 2006-12-22 19:12       ` Anton Gorlov
  2007-04-03 14:26       ` Igor Zubkov
  2 siblings, 0 replies; 9+ messages in thread
From: Anton Gorlov @ 2006-12-22 19:12 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Konstantin A. Lepikhov пишет:

> купите сертификат ;) или скажите всем пользователям поставить ваш cacert к
> себе.

Быстрее меняч порвут,как тузик грелку..
Сейчас заказчика вполне устраивает вариант, кторый предожен другим 
исполнителем в другом филиале вида

openssl genrsa  2048 >hostkey.pem
  openssl req -config host.conf  -new -x509 -nodes -sha1
  -days 365 -key hostkey.pem > hostcert.pem

Но понятно что такой вариант не есть гуд...В общемто покурив ещё парчоку 
урлов таки получилсоь сгенеритьсерефикат и получить корневой который 
можно руками вбить в доверенные, после чего всё чудесным образом пашет.
Но заказчика категорически не устраивает вариант, когда пользователю 
нужно чтото там руками вносить в браузер..

Сейчас же корневой таки приходится экспортировать через
openssl pkcs12 -export -in server_cert.pem -inkey server_key.pem -out 
iestuff.p12, после чего всё работает.

Вопрос -возможно как-нибудь добиться чтобы юзерупри заходе н сайт сразу 
предложили устанвоить корневой и всё..

Хотя хм..посмотрел https://bugzilla.altlinux.org - там таки юзается
вариант когда серефикат сгенерёнсамим же сайтом. :-/

-- 
   np: silence

^ permalink raw reply	[flat|nested] 9+ messages in thread

* Re: [Sysadmins] SSL
  2006-12-19 21:35     ` Konstantin A. Lepikhov
  2006-12-20  5:51       ` Anton Gorlov
  2006-12-22 19:12       ` Anton Gorlov
@ 2007-04-03 14:26       ` Igor Zubkov
  2007-04-03 15:40         ` Konstantin A. Lepikhov
  2 siblings, 1 reply; 9+ messages in thread
From: Igor Zubkov @ 2007-04-03 14:26 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

В сообщении от Tuesday 19 December 2006 23:35:16 Konstantin A. Lepikhov 
написал(а):
> > Это понятно..в конечном счёте нужно - что бы при заходе на некий ресурс
> > пользователю было предложено 1 раз усстановить сертефикат и всё.. что бы
> > каждый раз не спрашивалось принимать этот сертефикат или нет..
>
> купите сертификат ;) или скажите всем пользователям поставить ваш cacert к
> себе.

Интересно, а кто-нибуть покупал сертификаты? Например, у verisign?

-- 
icesik

^ permalink raw reply	[flat|nested] 9+ messages in thread

* Re: [Sysadmins] SSL
  2007-04-03 14:26       ` Igor Zubkov
@ 2007-04-03 15:40         ` Konstantin A. Lepikhov
  0 siblings, 0 replies; 9+ messages in thread
From: Konstantin A. Lepikhov @ 2007-04-03 15:40 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Hi Igor!

Tuesday 03, at 05:26:48 PM you wrote:

> В сообщении от Tuesday 19 December 2006 23:35:16 Konstantin A. Lepikhov 
> написал(а):
> > > Это понятно..в конечном счёте нужно - что бы при заходе на некий ресурс
> > > пользователю было предложено 1 раз усстановить сертефикат и всё.. что бы
> > > каждый раз не спрашивалось принимать этот сертефикат или нет..
> >
> > купите сертификат ;) или скажите всем пользователям поставить ваш cacert к
> > себе.
> 
> Интересно, а кто-нибуть покупал сертификаты? Например, у verisign?
я покупал - см. bugzilla.mozilla-russia.org Сертификат куплен на
www.namecheap.com, для покупки требуется кредитка типа visa и телефон, на
который можно дозвониться из америки.

-- 
WBR et al.


^ permalink raw reply	[flat|nested] 9+ messages in thread

end of thread, other threads:[~2007-04-03 15:40 UTC | newest]

Thread overview: 9+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2006-12-19 19:30 [Sysadmins] SSL Anton Gorlov
2006-12-19 20:14 ` Konstantin A. Lepikhov
2006-12-19 21:12   ` Anton Gorlov
2006-12-19 21:35     ` Konstantin A. Lepikhov
2006-12-20  5:51       ` Anton Gorlov
2006-12-22 19:12       ` Anton Gorlov
2007-04-03 14:26       ` Igor Zubkov
2007-04-03 15:40         ` Konstantin A. Lepikhov
2006-12-21 11:02 ` Alexey Borovskoy

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git