Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Тематический каталог: Установка и настройка Apache и подписанных SSL-сертификатов (apache ssl cert freebsd), auto_topic (?), 11-Ноя-08, (0) [смотреть все] спасибо автору, сам до этого догнал, но это реально самая полная дока, даж подой, abigor (?), 12:41 , 11-Ноя-08, (1) Вот мне интересно Ну почему афтар не сходил на cacert org -- там сертификаты сов, Andrew Kolchoogin (?), 12:55 , 11-Ноя-08, (2)   // Список команд для генерации в студию, пожалуйста , Аноним (-), 13:25 , 11-Ноя-08, (3)   // Ну вот, например Create CA openssl req -new -x509 -days 3652 -sha1 -newkey, Dyr (??), 21:34 , 11-Ноя-08, (13)   в составе пакета openssl есть скрипты CA pl и CA sh - на выбор с помощью котор, Александр (??), 10:27 , 12-Ноя-08, (14)   и толку от сертификата от cacert org если ни ff, ни opera, ни safari, ни ie не с, Аноним (-), 14:57 , 11-Ноя-08, (4)   Все круто кроме того что 1 На серверах обычно гуя нет 2 Если кто не понимает к, User294 (ok), 16:59 , 11-Ноя-08, (6)   // Ты становишься скучным Да нуууу с удивлением смотрю на стойки с RHEL4 5 , Аноним (11), 19:04 , 11-Ноя-08, (11)   откройте для себя X11 over ssh и vnc спорное замечание а блондинам - можно , Аноним (11), 15:23 , 12-Ноя-08, (15)   Про cacert org - думаю Вы в курсе, что подобных сервисов больше, чем те 2, что, bas_kam (ok), 17:09 , 11-Ноя-08, (7)   Это такой тонкий глум Мина замедленного действия с таймаутом в месяц - это несер, User294 (ok), 16:51 , 11-Ноя-08, (5) // Не глум, а примеры Думаю, что показав, что есть такие сервисы и проблема решитс, bas_kam (ok), 17:13 , 11-Ноя-08, (8) // Пример из разряда как заиметь ежемесячный геморрой - это готично Ну понятно чт, User294 (ok), 18:55 , 11-Ноя-08, (10) // Русский езыка сцуко сложный В статье чёрным по русскому сказано - на месяц , Аноним (11), 19:16 , 11-Ноя-08, (12) http www freessl su выпускает сертификаты Comodo Сейчас есть 2 варианта 1 Бе, Алексей Иванов (?), 13:59 , 03-Дек-08, (16) Отлично Таких статей сечас недостаток, так что в капилку , Аноним (9), 17:30 , 11-Ноя-08, (9) Да установить, andrey (??), 14:22 , 24-Авг-13, (18) Это такой тонкий глум Мина замедленного действия с таймаутом в месяц - это несер, Аноним (19), 03:38 , 06-Янв-21, (19) 1,2,5,9,18,19

Сообщения

[Сортировка по времени | RSS]

2. "Установка и настройка Apache и подписанных SSL-сертификатов "	+/–
Сообщение от Andrew Kolchoogin (?), 11-Ноя-08, 12:55
Вот мне интересно. Ну почему афтар не сходил на cacert.org -- там сертификаты совершенно бесплатно на год подписывают... И когда же, наконец, афтары подобных статей поймут, что для того, чтобы браузеры не ругались на криво сгенерированный сертификат, ТАК генерировать их нельзя ни в коем случае? Что надо сначала сгенерировать самоподписанную пару ключей, которая будет Certificate Authority, публичный ключ которой предлагать скачать на собственном сайте, а потом уже сгенерировать пару ключей для сервера, открытый ключ из которой подписать сгенерированной выше CA? И что, наконец, существует TinyCA, которая все это делает GUI'ней (что ЗНАЧИТЕЛЬНО понятнее для людей, близких к Web'у, но далеких от криптографии)? Вот какая ценность этой статьи? Показать, как хорошо афтар знает ключи командной строки OpenSSL, что ли?
Ответить | Правка | Наверх | Cообщить модератору

	3. "Установка и настройка Apache и подписанных SSL-сертификатов "	+/–
	Сообщение от Аноним (-), 11-Ноя-08, 13:25
	> Что надо сначала сгенерировать самоподписанную пару ключей, которая будет Certificate Authority, публичный ключ которой предлагать скачать на собственном сайте, а потом уже сгенерировать пару ключей для сервера, открытый ключ из которой подписать сгенерированной выше CA? Список команд для генерации в студию, пожалуйста.
	Ответить | Правка | Наверх | Cообщить модератору

	13. "Установка и настройка Apache и подписанных SSL-сертификатов "	+/–
	Сообщение от Dyr (??), 11-Ноя-08, 21:34
	>> Что надо сначала сгенерировать самоподписанную пару ключей, которая будет Certificate Authority, публичный ключ которой предлагать скачать на собственном сайте, а потом уже сгенерировать пару ключей для сервера, открытый ключ из которой подписать сгенерированной выше CA? > >Список команд для генерации в студию, пожалуйста. Ну вот, например: #Create CA:     openssl req  -new -x509 -days 3652 -sha1 -newkey rsa:1024 -config openssl.cnf -keyout private/CA.key -keyform PEM -out certs/CA.crt -outform PEM #Convert to PKCS#12 (for export to a Windows PC):   cat certs/CA.crt private/CA.key > private/CA-all.pem   openssl pkcs12 -export -in private/CA-all.pem -out certs/CA.p12   rm -v private/CA-all.pem #Create signing request from web server:     openssl req -new -sha1 -newkey rsa:1024 -nodes -keyout www.name.key -out requests/www.name.req #Create client certificate from sign request at CA:     openssl ca -policy policy_anything -extensions ssl_server -out newcerts/www.name.pem -in requests/www.name.req             or  (GENERAL): openssl ca -policy policy_anything -in mail.req -out certs/client.crt #Convert it to format for Apache:     openssl x509 -in newcerts/www.name.pem -out newcerts/www.name.crt #Copy and install to Apache Накидал когда-то себе памятку. Всё замечательно работает.
	Ответить | Правка | Наверх | Cообщить модератору

	14. "Установка и настройка Apache и подписанных SSL-сертификатов "	+/–
	Сообщение от Александр (??), 12-Ноя-08, 10:27
	>> Что надо сначала сгенерировать самоподписанную пару ключей, которая будет Certificate Authority, публичный ключ которой предлагать скачать на собственном сайте, а потом уже сгенерировать пару ключей для сервера, открытый ключ из которой подписать сгенерированной выше CA? > >Список команд для генерации в студию, пожалуйста. в составе пакета openssl есть скрипты (CA.pl и CA.sh - на выбор) с помощью которых очень легко сделать:   а) самоподписанный CA сертификат   б) ключи для сервера, подписанные этим CA сертификатом а чтобы всякий раз не отвечать на нудные вопросы при генерации ключей, загнать их по дефолту в openssl.cnf тогда можно просто жать ENTER на все вопросы, кроме commonName
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	4. "Установка и настройка Apache и подписанных SSL-сертификатов "	+/–
	Сообщение от Аноним (-), 11-Ноя-08, 14:57
	и толку от сертификата от cacert.org если ни ff, ни opera, ни safari, ни ie не считают его авторизованным центром сертификации...
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	6. "Установка и настройка Apache и подписанных SSL-сертификатов "	+/–
	Сообщение от User294 (ok), 11-Ноя-08, 16:59
	> И что, наконец, существует TinyCA, которая все это делает GUI'ней Все круто кроме того что: 1) На серверах обычно гуя нет! 2) Если кто не понимает как SSL работает да еще настолько что ему, тупенькому, гуй надо - так блондинкам по идее лучше не доверять генереж сертификатов.Иначе это не secure sockets а так, декоративная ширма.Извините конечно но секурити - это для профессионалов.Или хотя-бы для тех кто знает что делает.Иначе это профанация.Благодаря таким советчикам появляются сайты в духе региональных сайтов МТС - с самоподписанными SSL сертификатами протухшими по дате.Наверное тоже в гуе сгенерили и на этом и успокоились.Потому что близки к вебу но нули в криптографии.Так вот, таким "специалистам" от веба за такое управление сайтами - место в дворниках с подписью "Fired" в предыдущем месте работы.Потому что когда на сайте корпорации уровня МТС вдруг такая ж**а едва ли простительная хоумпаге Васи Пупкина - это, простите, позорище.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	11. "Установка и настройка Apache и подписанных SSL-сертификатов "	+/–
	Сообщение от Аноним (11), 11-Ноя-08, 19:04
	Ты становишься скучным :( >Все круто кроме того что: >1) На серверах обычно гуя нет! Да нуууу .... с удивлением смотрю на стойки с RHEL4/5 .... А!! - ты наверно о финдас-сервер2008? >2) [ словесный понос поскипан - тут не ЛОР всё же] В статье рассказано как поставить сертификаты подписанные однм из СА ключи которой уже сидят в браузерах и не трубуют телодвижений. Но ты статью не читал - ведь так? PS: Я даже знаю почему ты _тут_ жгешь ... потому что на LORe (где это логично делать) тебя отЪЪЪЪЫмели как сопляка :) А Максим он терпеливый - не банит таких долго :)
	Ответить | Правка | Наверх | Cообщить модератору

	15. "Установка и настройка Apache и подписанных SSL-сертификатов "	+/–
	Сообщение от Аноним (11), 12-Ноя-08, 15:23
	>1) На серверах обычно гуя нет! откройте для себя X11 over ssh и vnc :) >2) [skip] ... блондинкам по идее лучше не >доверять генереж сертификатов. спорное замечание... а блондинам - можно ? :) >Извините конечно но секурити - это для профессионалов. согласен.
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	7. "Установка и настройка Apache и подписанных SSL-сертификатов "	+/–
	Сообщение от bas_kam (ok), 11-Ноя-08, 17:09
	Про "cacert.org" - думаю Вы в курсе, что подобных сервисов больше, чем те 2, что я привёл и Вы дополнили? Про "И когда же, наконец, афтары подобных статей поймут" и "публичный ключ которой предлагать скачать на собственном сайте" - а Вы попробуйте по другой диагонали прочитать статью, я сделал особое внимание на то, что пользователь не будет это делать, а для того, чтобы браузеры не ругались этого достаточно. Про "Вот какая ценность этой статьи" - цели, цели у нас с Вами разные. Можно просто "забить" на ssl, можно сделать все сертификаты, создать свой корневой и заставить пользователей всё установить и принять. Я не буду рассказывать про то, что можно ведь рассматривать случаи предприятий с доменной сетью, где сертификат можно раздать, где можно обязать клиентов как Вы предложили зайти на сайт скачать и установить сертификат. Я лишь показал простой пример, на который некоторые люди, в том числе и я в своё время потратил время. За критику спасибо.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема