The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Тематический каталог: Установка и настройка Apache и подписанных SSL-сертификатов (apache ssl cert freebsd)"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Тематический каталог: Установка и настройка Apache и подписанных SSL-сертификатов (apache ssl cert freebsd)"  +/
Сообщение от auto_topic (?), 11-Ноя-08, 12:41 
Обсуждение статьи тематического каталога: Установка и настройка Apache и подписанных SSL-сертификатов (apache ssl cert freebsd)

Ссылка на текст статьи: http://www.opennet.ru/base/net/apache_ssl_inst.txt.html

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Установка и настройка Apache и подписанных SSL-сертификатов (apache ssl cert freebsd)"  +/
Сообщение от abigoremail (?), 11-Ноя-08, 12:41 
спасибо автору, сам до этого догнал, но это реально самая полная дока, даж подойдет и не для подписанных сертификатов
Ответить | Правка | Наверх | Cообщить модератору

2. "Установка и настройка Apache и подписанных SSL-сертификатов "  +/
Сообщение от Andrew Kolchoogin (?), 11-Ноя-08, 12:55 
Вот мне интересно.

Ну почему афтар не сходил на cacert.org -- там сертификаты совершенно бесплатно на год подписывают...

И когда же, наконец, афтары подобных статей поймут, что для того, чтобы браузеры не ругались на криво сгенерированный сертификат, ТАК генерировать их нельзя ни в коем случае?

Что надо сначала сгенерировать самоподписанную пару ключей, которая будет Certificate Authority, публичный ключ которой предлагать скачать на собственном сайте, а потом уже сгенерировать пару ключей для сервера, открытый ключ из которой подписать сгенерированной выше CA?

И что, наконец, существует TinyCA, которая все это делает GUI'ней (что ЗНАЧИТЕЛЬНО понятнее для людей, близких к Web'у, но далеких от криптографии)?

Вот какая ценность этой статьи? Показать, как хорошо афтар знает ключи командной строки OpenSSL, что ли?

Ответить | Правка | Наверх | Cообщить модератору

3. "Установка и настройка Apache и подписанных SSL-сертификатов "  +/
Сообщение от Аноним (-), 11-Ноя-08, 13:25 
> Что надо сначала сгенерировать самоподписанную пару ключей, которая будет Certificate Authority, публичный ключ которой предлагать скачать на собственном сайте, а потом уже сгенерировать пару ключей для сервера, открытый ключ из которой подписать сгенерированной выше CA?

Список команд для генерации в студию, пожалуйста.

Ответить | Правка | Наверх | Cообщить модератору

13. "Установка и настройка Apache и подписанных SSL-сертификатов "  +/
Сообщение от Dyremail (??), 11-Ноя-08, 21:34 
>> Что надо сначала сгенерировать самоподписанную пару ключей, которая будет Certificate Authority, публичный ключ которой предлагать скачать на собственном сайте, а потом уже сгенерировать пару ключей для сервера, открытый ключ из которой подписать сгенерированной выше CA?
>
>Список команд для генерации в студию, пожалуйста.

Ну вот, например:
#Create CA:
    openssl req  -new -x509 -days 3652 -sha1 -newkey rsa:1024 -config openssl.cnf -keyout private/CA.key -keyform PEM -out certs/CA.crt -outform PEM

#Convert to PKCS#12 (for export to a Windows PC):
  cat certs/CA.crt private/CA.key > private/CA-all.pem
  openssl pkcs12 -export -in private/CA-all.pem -out certs/CA.p12
  rm -v private/CA-all.pem

#Create signing request from web server:
    openssl req -new -sha1 -newkey rsa:1024 -nodes -keyout www.name.key -out requests/www.name.req

#Create client certificate from sign request at CA:
    openssl ca -policy policy_anything -extensions ssl_server -out newcerts/www.name.pem -in requests/www.name.req
            or  (GENERAL):
openssl ca -policy policy_anything -in mail.req -out certs/client.crt

#Convert it to format for Apache:
    openssl x509 -in newcerts/www.name.pem -out newcerts/www.name.crt

#Copy and install to Apache

Накидал когда-то себе памятку. Всё замечательно работает.

Ответить | Правка | Наверх | Cообщить модератору

14. "Установка и настройка Apache и подписанных SSL-сертификатов "  +/
Сообщение от Александр (??), 12-Ноя-08, 10:27 
>> Что надо сначала сгенерировать самоподписанную пару ключей, которая будет Certificate Authority, публичный ключ которой предлагать скачать на собственном сайте, а потом уже сгенерировать пару ключей для сервера, открытый ключ из которой подписать сгенерированной выше CA?
>
>Список команд для генерации в студию, пожалуйста.

в составе пакета openssl есть скрипты (CA.pl и CA.sh - на выбор)
с помощью которых очень легко сделать:
  а) самоподписанный CA сертификат
  б) ключи для сервера, подписанные этим CA сертификатом

а чтобы всякий раз не отвечать на нудные вопросы при генерации ключей,
загнать их по дефолту в openssl.cnf
тогда можно просто жать ENTER на все вопросы, кроме commonName

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

4. "Установка и настройка Apache и подписанных SSL-сертификатов "  +/
Сообщение от Аноним (-), 11-Ноя-08, 14:57 
и толку от сертификата от cacert.org если ни ff, ни opera, ни safari, ни ie не считают его авторизованным центром сертификации...
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

6. "Установка и настройка Apache и подписанных SSL-сертификатов "  +/
Сообщение от User294 (ok), 11-Ноя-08, 16:59 
> И что, наконец, существует TinyCA, которая все это делает GUI'ней

Все круто кроме того что:
1) На серверах обычно гуя нет!
2) Если кто не понимает как SSL работает да еще настолько что ему, тупенькому, гуй надо - так блондинкам по идее лучше не доверять генереж сертификатов.Иначе это не secure sockets а так, декоративная ширма.Извините конечно но секурити - это для профессионалов.Или хотя-бы для тех кто знает что делает.Иначе это профанация.Благодаря таким советчикам появляются сайты в духе региональных сайтов МТС - с самоподписанными SSL сертификатами протухшими по дате.Наверное тоже в гуе сгенерили и на этом и успокоились.Потому что близки к вебу но нули в криптографии.Так вот, таким "специалистам" от веба за такое управление сайтами - место в дворниках с подписью "Fired" в предыдущем месте работы.Потому что когда на сайте корпорации уровня МТС вдруг такая ж**а едва ли простительная хоумпаге Васи Пупкина - это, простите, позорище.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

11. "Установка и настройка Apache и подписанных SSL-сертификатов "  +/
Сообщение от Аноним (11), 11-Ноя-08, 19:04 
Ты становишься скучным :(
>Все круто кроме того что:
>1) На серверах обычно гуя нет!

Да нуууу .... с удивлением смотрю на стойки с RHEL4/5 ....
А!! - ты наверно о финдас-сервер2008?

>2) [ словесный понос поскипан - тут не ЛОР всё же]

В статье рассказано как поставить сертификаты подписанные однм из СА ключи которой уже сидят в браузерах и не трубуют телодвижений. Но ты статью не читал - ведь так?

PS: Я даже знаю почему ты _тут_ жгешь ... потому что на LORe (где это логично делать) тебя отЪЪЪЪЫмели как сопляка :) А Максим он терпеливый - не банит таких долго :)

Ответить | Правка | Наверх | Cообщить модератору

15. "Установка и настройка Apache и подписанных SSL-сертификатов "  +/
Сообщение от Аноним (11), 12-Ноя-08, 15:23 
>1) На серверах обычно гуя нет!

откройте для себя X11 over ssh и vnc :)

>2) [skip] ... блондинкам по идее лучше не
>доверять генереж сертификатов.

спорное замечание... а блондинам - можно ? :)

>Извините конечно но секурити - это для профессионалов.

согласен.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

7. "Установка и настройка Apache и подписанных SSL-сертификатов "  +/
Сообщение от bas_kam (ok), 11-Ноя-08, 17:09 
Про "cacert.org" - думаю Вы в курсе, что подобных сервисов больше, чем те 2, что я привёл и Вы дополнили?

Про "И когда же, наконец, афтары подобных статей поймут" и "публичный ключ которой предлагать скачать на собственном сайте" - а Вы попробуйте по другой диагонали прочитать статью, я сделал особое внимание на то, что пользователь не будет это делать, а для того, чтобы браузеры не ругались этого достаточно.

Про "Вот какая ценность этой статьи" - цели, цели у нас с Вами разные. Можно просто "забить" на ssl, можно сделать все сертификаты, создать свой корневой и заставить пользователей всё установить и принять. Я не буду рассказывать про то, что можно ведь рассматривать случаи предприятий с доменной сетью, где сертификат можно раздать, где можно обязать клиентов как Вы предложили зайти на сайт скачать и установить сертификат. Я лишь показал простой пример, на который некоторые люди, в том числе и я в своё время потратил время.

За критику спасибо.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

5. "Установка и настройка Apache и подписанных SSL-сертификатов (apache ssl cert freebsd)"  +/
Сообщение от User294 (ok), 11-Ноя-08, 16:51 
> http://www.freessl.su - сроком на 1 месяц

Это такой тонкий глум?Мина замедленного действия с таймаутом в месяц - это несерьезно: регулярно будет отваливаться сертификат.У буржуев есть более человеческие и бесплатные сервисы.И кроме того а этот ресурс является trusted ауторити в браузерах?

Ответить | Правка | Наверх | Cообщить модератору

8. "Установка и настройка Apache и подписанных SSL-сертификатов ..."  +/
Сообщение от bas_kam (ok), 11-Ноя-08, 17:13 
Не глум, а примеры. Думаю, что показав, что есть такие сервисы и проблема решится уже каждый сам сможет найти более достойных кандидатов :)

В данной статье я не собирался составлять список таких сервисов и проверять их trusted authority. Статья написано на примере использования второй ссылки - по ней проблем не замечено.

Ответить | Правка | Наверх | Cообщить модератору

10. "Установка и настройка Apache и подписанных SSL-сертификатов ..."  +/
Сообщение от User294 (ok), 11-Ноя-08, 18:55 
>Не глум, а примеры.

Пример из разряда "как заиметь ежемесячный геморрой" - это готично.

>проблема решится уже каждый сам сможет найти более достойных кандидатов :)

Ну понятно что "... никто не любит чистить картошку", в смысле перебирать конторы такого плана =).Но мне кажется что советовать конторы подписывающие сертификаты на месяц - это как-то негуманно.Найдутся ведь бакланы которые их поюзают.А потом у сайтов будут "месячные" =).

>В данной статье я не собирался составлять список таких сервисов и проверять
>их trusted authority.

Зря - вот как раз это было бы ну очень полезно и добавило бы совету ценности.А уж пнуть кофейников в сторону какой-нить правильной ауторити (это как раз один из наибольших геморроев) - было бы на вес золота.Глядишь кривых SSL сайтов бы поубавилось.

>по ней проблем не замечено.

Если вам верить - там геморрой ежеквартальный.Это конечно не такая жесть как "месячные" но обычно нормальные конторы выдают сертификаты на год.Вебмастеры тоже люди и у них есть зиллион других дел кроме как запоминать когда там у них SSL сертификат протухает.И чем реже он будет протухать - тем реже юзеры будут знакомиться с трехэтажной руганью их браузера на протухший сертификат.

Ответить | Правка | Наверх | Cообщить модератору

12. "Установка и настройка Apache и подписанных SSL-сертификатов ..."  +/
Сообщение от Аноним (11), 11-Ноя-08, 19:16 
>>Не глум, а примеры.
>Пример из разряда "как заиметь ежемесячный геморрой" - это готично.

Русский езыка сцуко сложный? В статье чёрным по русскому сказано - на месяц!!!! Если кого то это не остановит - его и не нужно останавливать :) Ибо не разбивши носу ...

[...]

>но обычно нормальные конторы выдают сертификаты на год.

Verisign и Thawte продают и на 2 года. Но не будь наивным чукотским юношей - все эти игрища с само-подписанными сертификатами - только от жадности. Имена контор дадены - сходи посмотри цены сам :(

>Вебмастеры тоже люди и у них есть зиллион других дел кроме как запоминать когда там у них SSL сертификат протухает.

Если купишь у вышеозначенных - они напомнят :) Им твоих денег надо.

>- тем реже юзеры будут знакомиться с трехэтажной руганью их браузера
>на протухший сертификат.

Если по бизнесу нужен ссл для клиентов - то за такое делают Power Ё-boot :)

Ответить | Правка | Наверх | Cообщить модератору

16. "Установка и настройка Apache и подписанных SSL-сертификатов ..."  +/
Сообщение от Алексей Ивановemail (?), 03-Дек-08, 13:59 
>>В данной статье я не собирался составлять список таких сервисов и проверять
>>их trusted authority.
>
>Зря - вот как раз это было бы ну очень полезно и
>добавило бы совету ценности.А уж пнуть кофейников в сторону какой-нить правильной
>ауторити (это как раз один из наибольших геморроев) - было бы
>на вес золота.Глядишь кривых SSL сайтов бы поубавилось.

http://www.freessl.su/ выпускает сертификаты Comodo.

Сейчас есть 2 варианта:
1. Без проверки организации сертификат выдается на 90 дней (аналог EssentalSSL).
2. С проверкой организации - на 30 дней (аналог InstantSSL).

>Если вам верить - там геморрой ежеквартальный.Это конечно не такая жесть как
>"месячные" но обычно нормальные конторы выдают сертификаты на год.Вебмастеры тоже люди
>и у них есть зиллион других дел кроме как запоминать когда
>там у них SSL сертификат протухает.И чем реже он будет протухать
>- тем реже юзеры будут знакомиться с трехэтажной руганью их браузера
>на протухший сертификат.

Можете купить сертификат и на год, и на 2 и на 5. Нет проблем - http://www.instantssl.su/

Скоро добавим на сайт мультидоменные сертификаты, UCC.

Если нужно что-то нестандартное - спрашивайте - мы как официальный партнер компании Comodo постараемся помочь вам.

--
С уважением,
Алексей Иванов
Генеральный директор
ООО "ЛидерТелеком"

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

9. "Установка и настройка Apache и подписанных SSL-сертификатов "  +/
Сообщение от Аноним (9), 11-Ноя-08, 17:30 
Отлично!
Таких статей сечас недостаток, так что в капилку!
Ответить | Правка | Наверх | Cообщить модератору

18. "Установка и настройка Apache и подписанных SSL-сертификатов (apache ssl cert freebsd)"  +/
Сообщение от andreyemail (??), 24-Авг-13, 14:22 
Да установить
Ответить | Правка | Наверх | Cообщить модератору

19. "Установка и настройка Apache и подписанных SSL-сертификатов (apache ssl cert freebsd)"  +/
Сообщение от Анонимemail (19), 06-Янв-21, 03:38 
Это такой тонкий глум?Мина замедленного действия с таймаутом в месяц - это несерьезно: регулярно будет отваливаться сертификат.У буржуев есть более человеческие и бесплатные сервисы.И кроме того а этот ресурс является trusted ауторити в браузерах?

https://sslsfree.com/

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру