* [Sysadmins] SSL
@ 2006-12-19 19:30 Anton Gorlov
2006-12-19 20:14 ` Konstantin A. Lepikhov
2006-12-21 11:02 ` Alexey Borovskoy
0 siblings, 2 replies; 9+ messages in thread
From: Anton Gorlov @ 2006-12-19 19:30 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
ПОнадобилось сгенерит кучку сертефикатов для апача.. Так как давно не
делал этого решил воспользоваться запиской на freesource.info
CA.pl -newca
openssl req -new -nodes -keyout newreq.pem -out newreq.pem
CA.pl -sign
openssl rsa < newreq.pem > newkey.pem
Прописал всё это дело в апаче
Результат - всякие ff/opera/mozilla и konqueror без проблем проглотили
сертефикат.
А IE однако не захотел кушать такой сетефикат со словами что не достаточно
информации..вернее он его кушает,даже типа устанавливает..но не как
корневой и
при следующем заходе опять спрашивает что делать.
погуглил. нашёл некий рецепт в виде
openssl pkcs12 -export -in server_cert.pem -inkey server_key.pem -out
iestuff.p12
Потом засунул iestuff.p12 в ие... Фиг - всё равно гвоорит что сертефикат
подписан неизвесной стороной.
Временно сгенерил сертефикат с помощью
openssl genrsa 2048 >hostkey.pem
openssl req -config host.conf -new -x509 -nodes -sha1 -days 365 -key
hostkey.pem > hostcert.pem
и
+# SSLCACertificatePath /etc/apache2/cert
+# SSLCACertificateFile /etc/apache2/cert/cacert.pem
При таком раскладе IE таки предлагает устанвоить сертефикат как корневой
и всё такое... но хотелсоь бы имет ь1 корневой и им уже подписывать всё
остальное. Вопрос -что пропустил при чтении манов?
--
np: silence
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] SSL
2006-12-19 19:30 [Sysadmins] SSL Anton Gorlov
@ 2006-12-19 20:14 ` Konstantin A. Lepikhov
2006-12-19 21:12 ` Anton Gorlov
2006-12-21 11:02 ` Alexey Borovskoy
1 sibling, 1 reply; 9+ messages in thread
From: Konstantin A. Lepikhov @ 2006-12-19 20:14 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 412 bytes --]
Hi Anton!
Tuesday 19, at 10:30:26 PM you wrote:
...
> При таком раскладе IE таки предлагает устанвоить сертефикат как корневой
> и всё такое... но хотелсоь бы имет ь1 корневой и им уже подписывать всё
> остальное. Вопрос -что пропустил при чтении манов?
В вашем случае не совсем понятно, что вы хотите получить - корневой
сертификат нельзя использовать как клиенский и наоборот.
--
WBR et al.
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] SSL
2006-12-19 20:14 ` Konstantin A. Lepikhov
@ 2006-12-19 21:12 ` Anton Gorlov
2006-12-19 21:35 ` Konstantin A. Lepikhov
0 siblings, 1 reply; 9+ messages in thread
From: Anton Gorlov @ 2006-12-19 21:12 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Konstantin A. Lepikhov пишет:
>> При таком раскладе IE таки предлагает устанвоить сертефикат как корневой
>> и всё такое... но хотелсоь бы имет ь1 корневой и им уже подписывать всё
>> остальное. Вопрос -что пропустил при чтении манов?
> В вашем случае не совсем понятно, что вы хотите получить - корневой
> сертификат нельзя использовать как клиенский и наоборот.
Это понятно..в конечном счёте нужно - что бы при заходе на некий ресурс
пользователю было предложено 1 раз усстановить сертефикат и всё.. что бы
каждый раз не спрашивалось принимать этот сертефикат или нет..
--
np: silence
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] SSL
2006-12-19 21:12 ` Anton Gorlov
@ 2006-12-19 21:35 ` Konstantin A. Lepikhov
2006-12-20 5:51 ` Anton Gorlov
` (2 more replies)
0 siblings, 3 replies; 9+ messages in thread
From: Konstantin A. Lepikhov @ 2006-12-19 21:35 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 769 bytes --]
Hi Anton!
Wednesday 20, at 12:12:53 AM you wrote:
> Konstantin A. Lepikhov пишет:
>
> >> При таком раскладе IE таки предлагает устанвоить сертефикат как корневой
> >> и всё такое... но хотелсоь бы имет ь1 корневой и им уже подписывать всё
> >> остальное. Вопрос -что пропустил при чтении манов?
> > В вашем случае не совсем понятно, что вы хотите получить - корневой
> > сертификат нельзя использовать как клиенский и наоборот.
>
> Это понятно..в конечном счёте нужно - что бы при заходе на некий ресурс
> пользователю было предложено 1 раз усстановить сертефикат и всё.. что бы
> каждый раз не спрашивалось принимать этот сертефикат или нет..
купите сертификат ;) или скажите всем пользователям поставить ваш cacert к
себе.
--
WBR et al.
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread* Re: [Sysadmins] SSL
2006-12-19 21:35 ` Konstantin A. Lepikhov
@ 2006-12-20 5:51 ` Anton Gorlov
2006-12-22 19:12 ` Anton Gorlov
2007-04-03 14:26 ` Igor Zubkov
2 siblings, 0 replies; 9+ messages in thread
From: Anton Gorlov @ 2006-12-20 5:51 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Konstantin A. Lepikhov пишет:
> купите сертификат ;) или скажите всем пользователям поставить ваш cacert к
> себе.
В том то и фиг..что сертефикат который сгенерил через
openssl genrsa и потом
openssl req
ИЕ скуал без проблем. -1 раз спросил что с ним делать,сказл
устанвоить..добавил его в коневые и всё. А тот серетфикат что генерил
через CA даже если добавить руками в корневые - всё равно каждый раз
спрашивает принимать или нет.. Причём есть припискам -читр мол дял
првоерка данного серетфиката недостаточно информации..какой именно - не
говорит.
--
np: silence
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] SSL
2006-12-19 21:35 ` Konstantin A. Lepikhov
2006-12-20 5:51 ` Anton Gorlov
@ 2006-12-22 19:12 ` Anton Gorlov
2007-04-03 14:26 ` Igor Zubkov
2 siblings, 0 replies; 9+ messages in thread
From: Anton Gorlov @ 2006-12-22 19:12 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Konstantin A. Lepikhov пишет:
> купите сертификат ;) или скажите всем пользователям поставить ваш cacert к
> себе.
Быстрее меняч порвут,как тузик грелку..
Сейчас заказчика вполне устраивает вариант, кторый предожен другим
исполнителем в другом филиале вида
openssl genrsa 2048 >hostkey.pem
openssl req -config host.conf -new -x509 -nodes -sha1
-days 365 -key hostkey.pem > hostcert.pem
Но понятно что такой вариант не есть гуд...В общемто покурив ещё парчоку
урлов таки получилсоь сгенеритьсерефикат и получить корневой который
можно руками вбить в доверенные, после чего всё чудесным образом пашет.
Но заказчика категорически не устраивает вариант, когда пользователю
нужно чтото там руками вносить в браузер..
Сейчас же корневой таки приходится экспортировать через
openssl pkcs12 -export -in server_cert.pem -inkey server_key.pem -out
iestuff.p12, после чего всё работает.
Вопрос -возможно как-нибудь добиться чтобы юзерупри заходе н сайт сразу
предложили устанвоить корневой и всё..
Хотя хм..посмотрел https://bugzilla.altlinux.org - там таки юзается
вариант когда серефикат сгенерёнсамим же сайтом. :-/
--
np: silence
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] SSL
2006-12-19 21:35 ` Konstantin A. Lepikhov
2006-12-20 5:51 ` Anton Gorlov
2006-12-22 19:12 ` Anton Gorlov
@ 2007-04-03 14:26 ` Igor Zubkov
2007-04-03 15:40 ` Konstantin A. Lepikhov
2 siblings, 1 reply; 9+ messages in thread
From: Igor Zubkov @ 2007-04-03 14:26 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от Tuesday 19 December 2006 23:35:16 Konstantin A. Lepikhov
написал(а):
> > Это понятно..в конечном счёте нужно - что бы при заходе на некий ресурс
> > пользователю было предложено 1 раз усстановить сертефикат и всё.. что бы
> > каждый раз не спрашивалось принимать этот сертефикат или нет..
>
> купите сертификат ;) или скажите всем пользователям поставить ваш cacert к
> себе.
Интересно, а кто-нибуть покупал сертификаты? Например, у verisign?
--
icesik
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] SSL
2007-04-03 14:26 ` Igor Zubkov
@ 2007-04-03 15:40 ` Konstantin A. Lepikhov
0 siblings, 0 replies; 9+ messages in thread
From: Konstantin A. Lepikhov @ 2007-04-03 15:40 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Hi Igor!
Tuesday 03, at 05:26:48 PM you wrote:
> В сообщении от Tuesday 19 December 2006 23:35:16 Konstantin A. Lepikhov
> написал(а):
> > > Это понятно..в конечном счёте нужно - что бы при заходе на некий ресурс
> > > пользователю было предложено 1 раз усстановить сертефикат и всё.. что бы
> > > каждый раз не спрашивалось принимать этот сертефикат или нет..
> >
> > купите сертификат ;) или скажите всем пользователям поставить ваш cacert к
> > себе.
>
> Интересно, а кто-нибуть покупал сертификаты? Например, у verisign?
я покупал - см. bugzilla.mozilla-russia.org Сертификат куплен на
www.namecheap.com, для покупки требуется кредитка типа visa и телефон, на
который можно дозвониться из америки.
--
WBR et al.
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] SSL
2006-12-19 19:30 [Sysadmins] SSL Anton Gorlov
2006-12-19 20:14 ` Konstantin A. Lepikhov
@ 2006-12-21 11:02 ` Alexey Borovskoy
1 sibling, 0 replies; 9+ messages in thread
From: Alexey Borovskoy @ 2006-12-21 11:02 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Anton Gorlov пишет:
> ПОнадобилось сгенерит кучку сертефикатов для апача.. Так как давно не
> делал этого решил воспользоваться запиской на freesource.info
Я их tinyca2 генерю. Скармливать их IE не пробовал.
- --
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63 2753 E37A 9E3F 11F3 BDE1
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
iD8DBQFFimmy43qePxHzveERAmRPAKCtiupQJeq2oaXJKLQQbSBWEkNs0QCcDx8x
c8z6Ph33X6bNwveLg/oapKg=
=yUBS
-----END PGP SIGNATURE-----
^ permalink raw reply [flat|nested] 9+ messages in thread
end of thread, other threads:[~2007-04-03 15:40 UTC | newest]
Thread overview: 9+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2006-12-19 19:30 [Sysadmins] SSL Anton Gorlov
2006-12-19 20:14 ` Konstantin A. Lepikhov
2006-12-19 21:12 ` Anton Gorlov
2006-12-19 21:35 ` Konstantin A. Lepikhov
2006-12-20 5:51 ` Anton Gorlov
2006-12-22 19:12 ` Anton Gorlov
2007-04-03 14:26 ` Igor Zubkov
2007-04-03 15:40 ` Konstantin A. Lepikhov
2006-12-21 11:02 ` Alexey Borovskoy
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git