Tarvitsen SSL sertifikaatin ja PriateKeyn

SINUN KYSYMYKSEN OSA 1
"""Olen aikeissa ottaa käyttöön erään Windows-pohjaisen, raportointiin liittyvän sovelluksen, joka on yhteydessä nettikauppamme MySQL tietokantaan. Suojattua SSL liikennettä varten tuo ohjelma tarvitsee suojatun yhteyden Certifikaatin että sen sertifikaatin PrivateKey salasanan. """

MINUN VASTAUS
Jos sinulla on verkkokauppa, sinulla on myös todennäköisesti SSL-suojausta (HTTPS) varten tarvittavat salauksen SSL-varmenteet.

Katsoppa nyt ensimmäiseksi, alkaako verkkokauppasi osoite https:// vai http:// tämä viimmeinen on suojaamaton yhteys, ja ensimmäinen on suojattuyhteys palvelimellasi olevaan verkkokauppaan.

Jos osoite alkaa https:// on kaikki tarvittava jo olemassa, suojatulle yhteydelle.

————————————————————————————————————————————————

SINUN KYSYMYKSEN OSA 2
Windowsin Firefox-selaimeni ja sen PHPMyAdmin sovellus pääsee vaivatta tuon nettipalvelun SSL-suojauksen läpi, ja SQL-kantaan. Joten koneessani, tai tarkemmin sen Firefoxilla täytyy oll hallussaan tarvittava Certifikaatti ja ilmeisesti sen PrivateKeyn salasana myös?

MINUN VASTAUS
Firefox-selaimeni ja PHPMyAdmin eivät millään tavalla liity toisiinsa. FireFox on WWW selain ja PHPMyAdmin on verkkosovellus tietokantojen tekemiseen ja yläpitoon, joka on käytettävissä kaikilla verkkoselaimilla.

"PHPMyAdmin sovellus pääsee vaivatta tuon nettipalvelun SSL-suojauksen läpi, ja SQL-kantaan"
Oletan että PHPMyAdmin on siellä samalla koneella, kuin sinun verkkokauppasikin on, jolloin PHPMyAdmin toimii localhostina, olet luultavasti käynnistänyt cPanel sovelluksen kuvakkeista.

No oletetaan että olet oikeasti asentanut paikalliselle koneelle PHPMyAdmin sovelluksen, ja sanomasi mukaan pääset MySQL tietokantoihin. Silloin myös se raportointin tehtäviin asentamasi sovellus voi lukea tietoa tietokannasta. HUOM että tämä paikalliselta koneelta pääsy tietokantaan on mahdollista, on sinun täytynyt cPanelissa sallia ja nimetä DoMain tai Ip jolla on pääsy tietokantaan. Muuten sieltä ei luveta yhtään mitään etänä. Lisäksi raportointin tehtäviin asentamasi sovellus tarvitsee tunnuksen ja salasanan siihen tietokantaan.

————————————————————————————————————————————————
LYHYESTI
Tarkista protokolla koneesi ja verkkokauppasi välillä.
Lisää etäluku oikeudet MySQL tietokannalle.
Selvitä tietokannan tunnukset ja salasanat.

Jatketaan kun olet tehnyt itsellesi selväksi nuo kolme kohtaa.

>> No oletetaan että olet oikeasti asentanut paikalliselle koneelle PHPMyAdmin
sovelluksen, ja sanomasi mukaan pääset MySQL tietokantoihin. >>

Kiitokset monipuolisesta vastauksesta. Sorryt että kysymykset ovat tällaista haparointia monissa kohdissa.

Tuo yllä oleva on tosiaan tilanne, eli PHPMyAdmin toimii Windows-koneellani, Apache serverin alaisuudessa. Ja se tosiaan pääsee netin kautta muihin MySQL tietokantoihin. Mutta koska kyseessä on selaimen päällä toimiva PHP-sovellus, se tietenkin käyttää selaimen tarjoamaa SSL-yhteyttä.

>> Silloin myös se raportointin tehtäviin asentamasi sovellus voi lukea
tietoa tietokannasta.>>

Tämä taas ei ole PHP-sovellus, vaan aito Windows-ohjelma, joka ei mene selaimen kautta nettiin, vaan käyttää omaa http(s)-protokollaansa. Nyt yhteys toimii netin takana olevaan MySQL-kantaan suojaamattomalla yhteydellä. Tämä Win-ohjelmakilke tarjoaa paikan jonne syöttää Cerificate ja Private key.
Mutta mistä saisin ne, eli keneltä ne pyydetään tai mistä tilataan?

- - -
Nyt jotkin EU-määräykset muuttuvat niin, että kaikki ei-suojaamattomat yhteydet pieniinkin verkkokauppoihin on estettävä. Siksi tähän SSL-kyselyn ja selvittely kierteeseen jouduin mukaan.

Oma nettikauppasaittimme on edelleen suojaamattoman yhteyden takana. Joko kaupallisen tai ilmaisen Certifikaatin SSL-suojaus olisi tarkoitus hankkia. Riippuu siitäkin mitä ISP antaa tai suostuu lopulta serverilleen asentamaan.

Tällä hetkellä pääsen testaamaan sukulaisen omistuksessa olevaan pieneen webin nettikauppaan jossa on SSL/HTTPS suojaus olemassa. Hän on tilannut SSL:n vuosia sitten ISP:ltä, eikä tiedä saaneensa mitään Certifikaatti Private key juttuja, jotka voisi minulle testimielessä antaa. Antaisi, jos olisi olemassa.

Näen heidän verkkokaupastaan Firefoxin kautta että heidän käyttämänsä kaupan certifikaatti on "CN = RapidSSL SHA256 CA". Mutta siis tuolle Windows-ohjelmalleni, keneltä tai mistä tämän certifikaatin Private keyn saisin Windows-puolen päähän?

Firefoxihan sinne menee nettiostoksille tuonne SSL-kauppaan omien, sisäisten certifikaattiensa avulla aivan helpolla. Mutta näistä FF:n omista certifikaateista tuskin on minulle mitään hyötyä, koska en niidenkään certifikaattien Private keytä saa haltuuni mistään.

>> HUOM että tämä paikalliselta koneelta pääsy tietokantaan on mahdollista,
on sinun täytynyt cPanelissa sallia ja nimetä DoMain tai Ip jolla on pääsy
tietokantaan. >>>

OK, tuo oli hyvä lisätieto tietää. Olin luulossa että kun SSL-putken kautta liikennöi, ja MySQL käyttäjätunnus salasana on olemassa, niin tuonne pääsisi. Kuten suojaamattomankin yhteyden kautta nyt pääsee.
Mutta siis tässä kohtaa on vielä tuollainen lisäsuojauksen CPanel-asetus olemassa?

https://letsencrypt.org/

Tässä luoton antoon:
https://www.reddit.com/r/webdev/comments/8d3vwz/lets_encrypt_passes_50_market_share/

>> Onko sinulla cPanelissa nämä vastaavat kuvakkeet. Ellei noita ole, voi olla ettei
hosting-palveluusi sisälly ollenkaan suojatun yhteyden tukea. >>

Hitsi kun nolottaa olla näin pihalla näistä asioista...

Kyllä ISP tarjoaa SSL:n, ja Web sen toisen kaupan (ei siis minun) sivut toimivatkin https-yhteydellä. Mutta kun en ymmärrä miten saan sen MySQL Win-Clientin yhteyden toimimaan suojatun yhteyden kautta.

>> Free SSL Certificates, joka on vanhentunut jo vuosia sitten, ota yhteyttä palvelun käyttötukeen, asia korjaantuu alle kolmen minuutin. Se vanhentuminen näkyy sieltä Status kuvakkeen takaa.>>

Se selvisi ISP:n puolelta, että he eivät suostu asentamaan noita LetsEncrypt sertifikaatteja. Selostus oli että niitä on käytetty PayPal phishingiin, ja että ne vanhenevat aina 3 kuukaudessa. Luin LetsEncryptin sivuilta, että serverithän uudistavat noita sertifikaatteja automaattisesti, joten ei se 3 kk aikaväli pitäisi ketään ISP:llä ylläpitotöinä rasittaa.

Onkohan tuo Free SSL Certificates joku vielä uusi toimija, tuon LetsEncryptin ulkopuolelta vai? Voin kyllä kysäistä ISP:ltä, kunhan tiedän tarkalleen mitä kysyä.

>>Tuli tuossa mieleen että kun tämä MySQL Workbench sisältää velhon jolla voi itse generoida sertifikaatin omalla avaimen allekirjoituksella näihin oman koneen ja palvelimen välisiin yhteyksiin, >>

Noita sertifikaatteja kyllä saa luotua useallakin työkalulla. Mutta olen ollut luulossa että niitä pitää aina luoda pari, toinen serveripäähän ja toinen clientin päähän. Ja jos pitää ISP:n serverille sellainen asentaa, niin taas iskee oma Linux-kädettömyys. Mitä tietoja sen serveripään serifikaatin pitää sisältää, ja kuinka sen saa sinne ylös.

>> Itse allekirjoitettu avain ei kuitenkaan sovellu verkkokaupan ylläpitoon, koska jokainen selain vain varoittelee sivulle siirtymisestä, ja jokainen siirtyminen on erikseen hyväksyttävä varoituksista huolimatta.>>

Tuohan pieni pomppiminen ei haittaa, jos ei verkkokaupan asiakkaille pompi ikkunat silmille.

>> Eli selaimen osoiterivillä osoite alkaa näin: https:// niinkö ?>>

Jep, selaimessa on https, ja selaimella ei mitään ongelmia SSL-yhteyksien kanssa ole. Vain kyseinen Windows-pohjainen ohjelmakikkare ja sen suojattu MySQL yhteus on se ongelma.

>>En tiedä pystyisinkö täsmä ohjeisiin jos paljastat käyttämäsi praportointityökalun nimen.>>

Sorryt, tätä ei voi nyt kertoa. Se on kaverin kaverilta saatu, ja jonkinlainen kaupallinen kuvio on tuotteella takanansa, eikä halua mitään kysellyjä syntyvän kaverien perään.

- - -
>>Unohtui tuo kuvakaappaus tuosta Cpanelista: https://i.imgur.com/TzLhyqX.png>>

Tuolla CPanelin Certificates sivulla on täysin tyhjää. Siellä on ”Upload Certificate” painike olemassa. Mutta minkä certifikaatin sinne ISP:n serverille uploadata, mistä sen servericertin saan? Tässä kohtaa olen pihalla.
HUOM. Tarkennukseksi, tällä saitilla ei toimi edes selaimella https-yhteys, kaverin nettikaupassa toimii. Tarkoitus olisi joku sertifikaatti tähänkin saada ja laittaa, jolla samalla se Win-kilkkeen SSL-yhteys ratkeaisi.

- - -
Yhteenvetona siis, toistaiseksi tuo MySQL-yhteys pelaa, nimenomaan sen nykyisen, suojaamattoman yhteyden kautta. Mutta jonkinmoinen pelko on, että kiristyykö EU:n tuoman nettikaupan vaatimukset tämän vuoden aikana merkittävästikin.

Niin paljon, että ISP:kin joutuu koville, ja sille annetaan pakkona alkaa edellyttää kaikkien yhteyksien menevän SSL-suojatun kanavan kautta. Siis jos saitilla on vaikka pienikin, henkilö/asiakasrekisteriksi tulkittavissa oleva lista asiakasnimistä olemassa.
Alustavasti jo joulukuulla kaupittelivat SSL-certifikaatin ostoa.

https://www.entrustdatacard.com/resource-center/licensing-and-agreements/

Oleppa hyvä.

>> Jos slikkaat tällä sivulla ollessasi sitä lukkoa, ja sitten "Voimassa" kohtaa, avautuu sinulle PopUp ikkuna joka sisältää informaatiota SSL-palvelinvarmenteen myöntäjästä ja voimassa oloajasta kahden välilehden voimalla.>>

Tämä on tietenkin triviaa, jonka aika moni löytää selaimestaan neuvomattakin. Firefox vaikka tallettaa omalle koneelle tuon severipään Varmennetiedoston. Siitä varmenteesta näkee varmenteen käyttötavan, myöntäjän nimen etc., yleensä isoja amerikkalaisfirmoja.

Firefoxin tekijät ovat kyenneet kattavasti hankkimaan ja asentamaan selaimensa asennuspakettiin mukaan kattavan liudan varmenteita. Niillä joilla pääsee ilman kyselyjä kaikanlaisiin SSL/https suojattuihin verkkokauppoihin, pankkiyhteyksiin jne.

- - -
Alkuperäisen kysymyksen keskeinen asia on, että mistä voin itse joko kaupallisesti ostaa vastaavan Firefoxin tavalla toimivan varmenteen. Tai voinko kenties käyttää jotakin Open/Free varmenteita.

Tuollaisen varmenteen ja sen PrivateKeyn syöttäisin sitten tuolle Windows-pohjaiselle raportointisovellukselle. Tämä sovellus ei tosiaan asioi Firefoxin läpi nettiin, vaan hoitaa https-liikenteensä itse.

Tässä kohtaa on tiedossa aukkoa, että onko tuollaisen kaikissa Firefoxeissa vakiona olevan "yleisvarmenteen" ostaminen ylipäätään mahdollista.
Firefoxissakin varmenteita on kymmenittäin, mikä noista on nimenomaan se joka käy tietyn verkkokaupan kanssa? Mistä tiedoista se on katsottavissa?

>> Mutta jos osoiterivin alussa on jo nyt vihreä lukko, kuten täällä suomi24 sivulla, sinä et tarvitse ostaa varmenteita mistään, ja sinun verkkokauppasi asiat on kunnossa,>>

Vastaajia lienee ketjussa useampiakin jo mukana. Pitäisi kuitenkin jaksaa lukea esitetty kysymyskin, jonka saman kysymyksen olen esittänyt eri tavoilla, jo ainakin 3 eri kertaan.

1.) Tarvitsen yksinkertaisesti clientti* päähän, Windows-koneelleni ja sen Windows-ohjelmalle SSL-certifikaatin. Jonka avulla se Windows-ohjelma pääsee netin SSL-suojatuille koneille samalla tavalla kuin Firefoxikin pääsee.

>> Mutta MySQL tietokantaa ei oletusarvoisesti voida käyttää etänä.
Ja tästä asiasta annat ristiriitaista tietoa, joka ei voi pitää paikkaansa.
Sanot omalle koneellesi asentaneesi phpMyAdmin sovelluksen, ja että sinä sillä pääset palvelimella olevaan tietokantaan. Tämän ei pitäisi olla mahdollista,>>

2.) Kylllä onnistuu ja toimii mainiosti. Mutat kuten olen jo edellä pariin kertaan sanonut, tämä toimii nykyisellään vain suojaamattomiille, ei SSL-salatuille Web-palvelimille. Mutta haluaisin päästä myös suojatuillekin palvelimille, toki serverin omistajan täydellä suostumuksella. Silloin palataan kohtaan 1.) takaisin, että mistä saan sen clientti pään certifikaatin. Sellaisen joka esim. Firefoxilla itsellään näköjään on valmiina.

>>Tein vielä tuollaisen lyhyen PHP ohjelman jolla voit testata salliiko hosting-palvelusi MySQL tietokannan lukemisen etänä. Jos ohjelma pystyy muodostamaan yhteyden tietokantaan, on asia hosting-palvelun puolesta kunnossa, jolloin meidän pitää vain löytää sen ???>>

3.) Tuon testaaminen on turhaa, koska yhteys toimii. Olen jo pariin kertaan edellisissä vastauksissa, ja kerran tässä vastauksessa sanonut, että MySQL yhteys toimii ei-salatun yhteyden ylitse. Tästäkin päästään taas takaisin kohtaan 1.).

Että onko ylipäätään mahdollista tilata jostakin pelkästään clientti pään certifikaatti, jolla SSL-suojatuolle (luvallisille) saiteille pääsee. Vertailuna puhun Firefoxista, koska sen varmenteille pääsee vaivatat aika moneen paikakan, Web-kauppoihin. Pankkeihin jne.

- - -
Arvostan sitä että joky ylipäätään vaiitsii kirjoitella vastauksia. Mutta jollakin tavoin puhumme ristiin, puhumme eri asioista.
En vieläkään ole varma että eikö "Turpo-urpo" vastaaja oikeasti ymmärrä mitä kysyn.

Vai eikö hän tai kukaan muukaan paikalla olija osaa vastata kysymykseen. Että onko tuollaisia pelkkiä (Firefoxin tyyppisiä) Client sertifikaatteja ylipäätään ostettavissa jostakin?
Jos siinä on jokin tekninen este tai perusteltu muu mahdottomuus, niin sellaisen vastauksen voin kyllä hyväksyäkin.

Varmenne annetaan aina serveripäähän. Selaimessa on taas varmenteiden myöntäjien tunnisteet niin että selain pystyy tunnistamaan serverin varmenteen aitouden myöntäjän allekirjoituksesta.

Mikäli haluat käyttää Phpmyadminia suojatun yhteyden läpi niin säätö pitää tehdä Apachen konffeihin sitten kun serverille on asennettu sertifikaatti.

> Mikäli haluat käyttää Phpmyadminia suojatun yhteyden läpi niin säätö pitää tehdä
> Apachen konffeihin sitten kun serverille on asennettu sertifikaatti.

Tämä asia nyt ei näköjään vaan mene läpi. Tai sitten joku 'vastailija' kirjoittelee ja jankkaa tarkoituksella trollimaisesti juttuansa.

Kuten olen noin 5 kertaa edellä jo sanonut, tarvitsen siltä *Windows-pohjaiselta applickaatiolta* yhteyden netin läpi Web serverille. Ja tälle Windows-ohjelmalle tarvitsisin sen clienttipään certifikaatin, ja sen kyseisen certifikaatin private keyn.

Mutta mistä tällaisen certfikaatin voi saada?

Firefoxin tekijät ovat saaneet vaivatta, ja keltään Web-kaupan tai Web-serverin omistajalta lisätietoja kyselemättä sellaisia. Ovat tyrkänneet ne certifikaatit Firefoxiinsa, ja SSL-yhteydet pelaa.
- - -
Onko olemassa jokin tekninen/suojauspohjainen este, että minä en voi ostaa maailmalta mistään samanlaista certifikaattia, joita Firefoxissa on? Ovat niin helposti toimivan tuntuisia.
Jos sellainen este on olemassa, niin hyväksyn tietenkin asian ja vastauksen.

"""Firefoxin tekijät ovat kyenneet kattavasti hankkimaan ja asentamaan selaimensa asennuspakettiin mukaan kattavan liudan varmenteita. Niillä joilla pääsee ilman kyselyjä kaikanlaisiin SSL/https suojattuihin verkkokauppoihin, pankkiyhteyksiin jne. "

Niilä ei pääse verkkokauppoihin tai pankkeihin. Verkkokauppaan ja pankkiin pääsee vain niiden omalla varmenteella (muuta ei tarvita), jonka verkko kauppa lähettää automaattisesti kun siihen ottaa yhteyden (tämä sisältää kaikki tiedot, jotta salattu yhteys on mahdollista luoda). Ne Firefox:n mukana tulevat varmenteet ovat vain luotettujen varmenteiden myöntäjä tahojen (CA) varmenteita. Homma siis toimii siten, että kun verkkokauppa lähettää oman varmenteen, niin Firefox pyrkii varmentamaan kyiseisen varmenteen aitouden sen myöntäjä tahoilta. Tätä varten se tarvitsee niitä myötäjä tahojen varmenteita.



"""Alkuperäisen kysymyksen keskeinen asia on, että mistä voin itse joko kaupallisesti ostaa vastaavanFirefoxin tavalla toimivan varmenteen."""

Ei ole mitään Firefox:n tavoin toimivia varmenteita! Jos haluat että käyttäjät pääsevät HTTPS sivuillesi ilman ylinmääräisiä hyväksymisiä, niin hommaat varmenteen jonka Firefox kykenee varmentamaan luotettavasti ilman kikkailua, (eli myöntäjä ketju päättyy varmentajaan jonka varmenteen Firefox asentaa asennuksen yhteydessä). Tälläisia varmeiteita on esimerkiksi Let's Encrypt tarjoamat varmenteet. Tämän lisäksi varmenteen on oltava voimassa, ja sen on oltava myönnetty sille verkko tunnukselle/palvelimelle jossa se palvelin ohjelmisto johon asikas ottaa yhteyden, jotta Firefox ei herjaa.

Se miten joku muu sovellus kuin Firefox toimii, kuten mysql -client, on täysin sen oma asia, (esim. pyrkiikö varmentamaan varmenteen aitouden varmentajan myöntäjältä, ja käyttääkö siihen varmenteita, tai onko joku etukäteis joukko). Esimerkiksi mysqlssä käyttäjä oikeuksista voi määritellä SSL:n pakolliseksi, kuten myös jopa vaatia asiakkaan päältä varmenteen, (ei Firefox:ssa mitään täläistä ole, ei Web sivu voi vaatisa asikaan päältä varmennetta!!!).

Sen "Firefox tyylisen verkkokauppa varmenteen" voit hankkia sieltä Let's Encrytilta. Itse itse allekirjoitetun varmenteen voi tehdä vaikka alla olevasta linkista. OpenSSL on yleisesti ottaen varmenteen tekoon. Jos haluat tehdä CA varmentee, niin se on vain varmenne jota käytetään muiden varmenteiden allekirjoittamiseen, ei sen kummempaa.

https://www.sslchecker.com/csr/self_signed

Jos se tulee mysql:ään, niin varmaan kannattaa katsoa sieltä ohjeet.

https://dev.mysql.com/doc/refman/8.0/en/encrypted-connections.html


"""Onko olemassa jokin tekninen/suojauspohjainen este, että minä en voi ostaa maailmalta mistään samanlaista certifikaattia, joita Firefoxissa on?"""

Samanlaista? Firefox yhteisö on hyväksynyt ne varmenteet asennettavaki asennuksen yhteydessä. Voit toki ostaa eritason varmenteita; hinnat löytyvät googlesta mitä kukin pyytää.

https://partnergate.sonera.com/sslorder.html


"""Jos sellainen este on olemassa, niin hyväksyn tietenkin asian ja vastauksen. """

Eihän kukaan sinulle toimivaa varmennetta voi luoda ja myydä, jos et tiedä mitä halut. Jos varmenne on mysql asiakas päähän, niin silloinhan mysql serveri voi vaatia jotta varmenteen CA on sen listalla, eikä silloin auta vaikka CA olisi Firefox:n listalla.

En malta olla vielä sotkautumatta keskusteluun, joten pistän pari riviä SSH yhteyden muodostamisesta palvelimen ja oman koneen välille.

Jotta SSH yhteys voidaan muodostaa, on molemissa päissä oltava asennettuna SSH palvelin ohjelmisto, jotka mahdollistavat liikenteen oletusarvoisesti portissa 22. Oletan että ??? ohjelman asennus on tämän tehnyt sinun koneelle, mutta muille joilla sitä ei ole, asennus tehdään näin:

sudo apt-get install openssh-client openssh-server

Varsinaista konfausta ei tarvita, mutta mikäli haluat vaihtaa portin jota SSH palvelin kuuntelee muuksi kuin 22, voit muutta sen näin:

sudo xed /etc/ssh/sshd_config

Tuon muutoksen jälkeen palvelin uudelleen käynnistetään näin:

sudo /etc/init.d/ssh restart

Ja toimivuutta voit testata näin:

ssh -p 22 käyttäjä[email protected]

Mikäli yhtetyttä ei synny, saat viestin:

ssh: connect to host 127.0.0.1 port 22: Connection refused

Tuo tarkoittaa sitä että palvelin ei vastaa portissa 22.
______________________________________________________________________________________________

No omassa päässä asiat on helppo järjestää, mutta palvelin päässä asioista päättää hostaajasi. Voi sanoa että oletusarvoisesti palvelin päässä ei portti 22 ole auki. Se on joku muu, tai mitään porttia ei ole laitettu kuuntelemaan SSH liikennettä.

Vanhalle asiakkaalle hostaaja saattaa venyä asetuksiin, joilla yhteys saadaan muodostumaan, joka tapauksessa asia on neuvoteltava hostaajan kanssa, joka tulee sinulta kysymään mihinkä sinä tarvitset sitä. Ja kun asia on neuvoteltu kuntoon voit testata yhteyden näin:

ssh -p 1144 TUNNUS@DOMAIN

1144 on portti jota palvelin on asetettu kuuntelemaan.
TUNNUS on cPaneliin kirjautumis tunnuksesi.
DOMAIN on palvelimen verkko-osoite ilman protokolla liitteitä ja hakemisto-haaroja, tai vain palvelimen IP.

Jos yhteys muodostuu, tullaan sinulta kysymään salasanaa, ja siihen annat cPaneliin kirjautumisessa käyttämäsi salasana, Tai sitten hostaajan kanssa sopimasi tunnukset ja salasanat.

Kaikki tässä ketjussa antamani esimerkit on käytännössä testattu Linux Mintin alaisuudessa. Windows on ihan perseestä ohjelmointi ja palvelin käytössä. Tätä ei ole tarkoitettu vastaukseksi kysymykseen, vaan asiaan muuten liittyvänä, joka saattaa auttaa ongelmia ratkoessasi.

>>Selaimen tekijä taas on koonnut kaikkien luotettavana pitämiensä varmentajien julkiset avaimet (jotka ovat kaikkien saatavilla) valmiiksi selaimeen käyttäjän puolesta. Selain pystyy sitten varmentajan julkisella avaimella toteamaan nettipalvalun sertifikaatin aitouden.>>

Mutta eihän tuollainen pelkkä selainpään tekemä toteaminen tai tunnistaminen riitä vielä minnekään. Suojattu https/SSL yhteus tarkoittaa nimenomaan salattua liikennöintiä, molempiin suuntiin.
https://en.wikipedia.org/wiki/HTTPS

Web-serveriltä tulevat salatut vastaussanomat pitää pystyä selaimen päässä avaamaan, purkamaan. Selainohjelmassa (Firefox tms.) pitää olla Web-serverin varmenteen kanssa yhteensopiva tai muuten hyväksymä varmenne, ja Firefoxilla pitää olla hallussaan oman varmenteensa Private Key. Tuolla Private Keylla Firefox purkaa sanoman, jonka serveripää oli suojannut omalla Public keyllään.

- - -
En ole käytännön tasolla tuttu näiden asioiden kanssa. Public ja Private key, ja certifikaattien vaihtamiset clientin ja serverin välillä jne, nämä kaikki ovat aika lailla hakusessa.

Tosiaan en edes tiedä millainen Certifikaatti client päähän, eli sille Windows ohjelmalleni (ei siis selaimelle) pitäisi jostakin hankkia.

>> Selain saa Web palvelin ohjelmistolta sen varmenteen, ja lähettää puolestaan itse generoimansa julkisen avaimen palvelimelle. Selain ei siis tarvitse omaa varmentta jotta yhteys voidaan salata kahteen suuntaan. Selain luo lennosta julkisen ja salaisen avaimen, ja välittää sen oman julkisen avaimen web palvelimelle siinä yhteyden alussa.>>

Tuossa selostuksessa on paljon perää, ja vaikuttaa uskottavalta että kättely ja avaimien vaihtaminen menisi juuri tuossa järjestyksessä.
Mutta kysymys kuuluu. miksi sitten Firefoxilla ja kaikilla muillakin selaimilla kuitenkin on liuta omia sertifikaatteja mukanaan, jos niitä ei koskaan tarvita?

Se oma Windows-pohjaisen softan kysymykseni ei myöskään täysin ratkea tällä kättelykuvauuksella vielä. Win-ohjelma käyttää Open SSL:n tarjoamia palveluja. Se ei ole niin kehittynyt, että se osaisi itse luoda noita sertifikaatteja lennosta. Win-ohjelma pyytää käyttäjää antamaan sille SSL-certfikaatin ja sen private keyn valmiina.

Ilmeisesti tuo kättelyvaihe kun selain tekee "lennosta" uuden certifikaatin korvataan sillä että selainta vastaava Windows-ohjelma lähettää oman SSL-certifikaattinsa serverille. Mutta käykö tässä kohtaa mikä tahansa SSL-varmenne, ja serveripää sellaisen hyväksyy?

Firefoxillakin on mukana noin 20 erilaista certifikaattia aikaisemilta vuosilta jolloin se itsekään ei ilmeisesti osannut "lennosta" luoda niitä tarvittavia certifikaatteja. Silloin se poimi jonkun noista certifikaateista, jonka se arveli parhaiten kelpaavan serverille, ja lähetti sen.

Jos nyt yhden certifikaatin ajattelisi kokeeksi jostain hommata sille Win-ohjelmalle, niin millä perusteilla sellaisen valitsee? Käykö mikä vain? Toimittajia on kymmenittäin.

>> Selaimessa ei myöskään ole sertifikaatteja vaan luotettavana pidettyjen varmentajien julkisia avaimia. Koska varmenteen allekirjoitus on salattu varmentajan salaisella avaimella niin sen saa varmentajan julkisella avaimella auki.>>

Mikäli kukaan muu ei kommentoi että selaimen kättely ja avaintenvaihto ei tapahtuisi juuri tuossa järjestyksessä, niin pidän tätä toistaiseksi ymmärrettävimpänä ja selkeimpänä vastauksena.

Selaimesta kun pompataan Windows-ohjelman puolelle, niin edelleen jää vähän aukkoa. Sen helppien antama tieto on että tarvitaan "SSL Certificate and SSL Private Key" . Toisin kuin selainohjelma yllä omissa kättelyissään, niin tämäpä Win-härpäke vaatiikin certifikaatin ja sen private keyn.

Näen Web-serveriltä että sen käyttämä varmenne on "CN = RapidSSL SHA256 CA". Eli varmentajafirma lienee siis tällainen yritys.
https://www.tbs-certificates.co.uk/FAQ/en/geotrust-gv.html

Taitaa mennä hakuammunnan puolelle jos tilaan tuolta SSL Certifikaatin, ja alan kokeilla? Saattaa alkaa yhteys toimia, mutta voi olla toimimattakin. Onko kellään mitään arviota tällaisesta asiasta? Kannattaako ihan onni-arviolta tilailla?

Asia kaikkineen ja sen ongelma-alua on alkanut tämän keskusteluketjun aikana valjeta. Kiitokset kaikille osallistujille ja kommentoijille.
Koetan vielä löytää muualtakin netistä lisätietoja asiaan, jos täällä alkaa kommentoinnit loppumaan tämän SSL-ketjun suhteen.

>> Kuva1: https://i.imgur.com/tWoGNp4.jpg

Millähän ohjelmalla tuossa ollaan luomassa SSL-avainta? Polkurakenne viittaisi Windowsin sijasta Unix-koneella tehtävään operointiin.
https://linuxhint.com/generate-ssh-keys-on-linux/

Tekemisen työkalu tai sen käyttöjärjestelmä sinänsä ei liene niin merkittävä. Vakiomallisen SSL Certin voi luoda Windowsissa vaikka ilmaisella Open SSL :äkin. Jos se sitten vaan millään muotoa kelpaa Webin palvelimille. Oma käytännön tason kokemus Linuxilla on 0,00 tässsä kohtaa.

Minkähän vuoksi tuossa puhutaan SSL:n sijasta SSH avaimesta? Menin itse lisää sekaisin tämän suhteen.

>> Kuva2: https://i.imgur.com/kEyNb2n.jpg

Tässä kohtaa kehoitetaan käyttämään komentoa "ssh-copy-id". Pitäisikö tuollainen komento pystyä suorittamaan Web-serveirin päässä, sen shell oikeuksilla?
Itsellä on pääsy vain CPaneliin, ja sen kautta ja sen komennnoilla pitäisi operoinnit onnistua, jos ylipäätään onnistuu.