Tarvitsen SSL sertifikaatin ja PriateKeyn

Suojausjuttu-ei-aukene

Olen aikeissa ottaa käyttöön erään Windows-pohjaisen, raportointiin liittyvän sovelluksen, joka on yhteydessä nettikauppamme MySQL tietokantaan. Suojattua SSL liikennettä varten tuo ohjelma tarvitsee suojatun yhteyden Certifikaatin että sen sertifikaatin PrivateKey salasanan.

Windowsin Firefox-selaimeni ja sen PHPMyAdmin sovellus pääsee vaivatta tuon nettipalvelun SSL-suojauksen läpi, ja SQL-kantaan. Joten koneessani, tai tarkemmin sen Firefoxilla täytyy oll hallussaan tarvittava Certifikaatti ja ilmeisesti sen PrivateKeyn salasana myös?

Voinko jotenkin hyödyntää tai ottaa sieltä ulos ja käyttööni tuon Firefoxissa olevan Certifikaatin, ja antaa sen ko. Windows sovellukselle?

Harrastelijapohjainen Webbikauppamme pyörii kotimaisen ISP-palveluntarjoajan serverillä. Onko SSL-asia jotenkin heidän hallussaan pelkästään, ja heiltä pitää jotakin Certifikaatteja pyytää?

En pääse millään kärryille, että miten koko tämä varmenteiden logiikka tässä kohtaa toimii.

Vai voinko peräti tehdä itse sen certifikaatin, vai pitääkö sellainen aina jostakin ostaa?

29

2344

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • Turbo-Urpo

      SINUN KYSYMYKSEN OSA 1
      """Olen aikeissa ottaa käyttöön erään Windows-pohjaisen, raportointiin liittyvän sovelluksen, joka on yhteydessä nettikauppamme MySQL tietokantaan. Suojattua SSL liikennettä varten tuo ohjelma tarvitsee suojatun yhteyden Certifikaatin että sen sertifikaatin PrivateKey salasanan. """

      MINUN VASTAUS
      Jos sinulla on verkkokauppa, sinulla on myös todennäköisesti SSL-suojausta (HTTPS) varten tarvittavat salauksen SSL-varmenteet.

      Katsoppa nyt ensimmäiseksi, alkaako verkkokauppasi osoite https:// vai http:// tämä viimmeinen on suojaamaton yhteys, ja ensimmäinen on suojattuyhteys palvelimellasi olevaan verkkokauppaan.

      Jos osoite alkaa https:// on kaikki tarvittava jo olemassa, suojatulle yhteydelle.

      ————————————————————————————————————————————————

      SINUN KYSYMYKSEN OSA 2
      Windowsin Firefox-selaimeni ja sen PHPMyAdmin sovellus pääsee vaivatta tuon nettipalvelun SSL-suojauksen läpi, ja SQL-kantaan. Joten koneessani, tai tarkemmin sen Firefoxilla täytyy oll hallussaan tarvittava Certifikaatti ja ilmeisesti sen PrivateKeyn salasana myös?

      MINUN VASTAUS
      Firefox-selaimeni ja PHPMyAdmin eivät millään tavalla liity toisiinsa. FireFox on WWW selain ja PHPMyAdmin on verkkosovellus tietokantojen tekemiseen ja yläpitoon, joka on käytettävissä kaikilla verkkoselaimilla.

      "PHPMyAdmin sovellus pääsee vaivatta tuon nettipalvelun SSL-suojauksen läpi, ja SQL-kantaan"
      Oletan että PHPMyAdmin on siellä samalla koneella, kuin sinun verkkokauppasikin on, jolloin PHPMyAdmin toimii localhostina, olet luultavasti käynnistänyt cPanel sovelluksen kuvakkeista.

      No oletetaan että olet oikeasti asentanut paikalliselle koneelle PHPMyAdmin sovelluksen, ja sanomasi mukaan pääset MySQL tietokantoihin. Silloin myös se raportointin tehtäviin asentamasi sovellus voi lukea tietoa tietokannasta. HUOM että tämä paikalliselta koneelta pääsy tietokantaan on mahdollista, on sinun täytynyt cPanelissa sallia ja nimetä DoMain tai Ip jolla on pääsy tietokantaan. Muuten sieltä ei luveta yhtään mitään etänä. Lisäksi raportointin tehtäviin asentamasi sovellus tarvitsee tunnuksen ja salasanan siihen tietokantaan.

      ————————————————————————————————————————————————
      LYHYESTI
      Tarkista protokolla koneesi ja verkkokauppasi välillä.
      Lisää etäluku oikeudet MySQL tietokannalle.
      Selvitä tietokannan tunnukset ja salasanat.

      Jatketaan kun olet tehnyt itsellesi selväksi nuo kolme kohtaa.

    • Suojausjuttu-ei-aukene

      >> No oletetaan että olet oikeasti asentanut paikalliselle koneelle PHPMyAdmin
      sovelluksen, ja sanomasi mukaan pääset MySQL tietokantoihin. >>

      Kiitokset monipuolisesta vastauksesta. Sorryt että kysymykset ovat tällaista haparointia monissa kohdissa.

      Tuo yllä oleva on tosiaan tilanne, eli PHPMyAdmin toimii Windows-koneellani, Apache serverin alaisuudessa. Ja se tosiaan pääsee netin kautta muihin MySQL tietokantoihin. Mutta koska kyseessä on selaimen päällä toimiva PHP-sovellus, se tietenkin käyttää selaimen tarjoamaa SSL-yhteyttä.

      >> Silloin myös se raportointin tehtäviin asentamasi sovellus voi lukea
      tietoa tietokannasta.>>

      Tämä taas ei ole PHP-sovellus, vaan aito Windows-ohjelma, joka ei mene selaimen kautta nettiin, vaan käyttää omaa http(s)-protokollaansa. Nyt yhteys toimii netin takana olevaan MySQL-kantaan suojaamattomalla yhteydellä. Tämä Win-ohjelmakilke tarjoaa paikan jonne syöttää Cerificate ja Private key.
      Mutta mistä saisin ne, eli keneltä ne pyydetään tai mistä tilataan?

      - - -
      Nyt jotkin EU-määräykset muuttuvat niin, että kaikki ei-suojaamattomat yhteydet pieniinkin verkkokauppoihin on estettävä. Siksi tähän SSL-kyselyn ja selvittely kierteeseen jouduin mukaan.

      Oma nettikauppasaittimme on edelleen suojaamattoman yhteyden takana. Joko kaupallisen tai ilmaisen Certifikaatin SSL-suojaus olisi tarkoitus hankkia. Riippuu siitäkin mitä ISP antaa tai suostuu lopulta serverilleen asentamaan.

      Tällä hetkellä pääsen testaamaan sukulaisen omistuksessa olevaan pieneen webin nettikauppaan jossa on SSL/HTTPS suojaus olemassa. Hän on tilannut SSL:n vuosia sitten ISP:ltä, eikä tiedä saaneensa mitään Certifikaatti Private key juttuja, jotka voisi minulle testimielessä antaa. Antaisi, jos olisi olemassa.

      Näen heidän verkkokaupastaan Firefoxin kautta että heidän käyttämänsä kaupan certifikaatti on "CN = RapidSSL SHA256 CA". Mutta siis tuolle Windows-ohjelmalleni, keneltä tai mistä tämän certifikaatin Private keyn saisin Windows-puolen päähän?

      Firefoxihan sinne menee nettiostoksille tuonne SSL-kauppaan omien, sisäisten certifikaattiensa avulla aivan helpolla. Mutta näistä FF:n omista certifikaateista tuskin on minulle mitään hyötyä, koska en niidenkään certifikaattien Private keytä saa haltuuni mistään.

      >> HUOM että tämä paikalliselta koneelta pääsy tietokantaan on mahdollista,
      on sinun täytynyt cPanelissa sallia ja nimetä DoMain tai Ip jolla on pääsy
      tietokantaan. >>>

      OK, tuo oli hyvä lisätieto tietää. Olin luulossa että kun SSL-putken kautta liikennöi, ja MySQL käyttäjätunnus salasana on olemassa, niin tuonne pääsisi. Kuten suojaamattomankin yhteyden kautta nyt pääsee.
      Mutta siis tässä kohtaa on vielä tuollainen lisäsuojauksen CPanel-asetus olemassa?

      • Turbo-Urpo

        Onko sinulla cPanelissa nämä vastaavat kuvakkeet. Ellei noita ole, voi olla ettei hosting-palveluusi sisälly ollenkaan suojatun yhteyden tukea. Silloin on katseltava uutta palvelua jostakin jos verkkokauppan pitoa aiot jatkaa. Jos hosting-palveluusi on jossakin vaiheessa kuulunut Free SSL Certificates, joka on vanhentunut jo vuosia sitten, ota yhteyttä palvelun käyttötukeen, asia korjaantuu alle kolmen minuutin. Se vanhentuminen näkyy sieltä Status kuvakkeen takaa.

        Tuli tuossa mieleen että kun tämä MySQL Workbench sisältää velhon jolla voi itse generoida sertifikaatin omalla avaimen allekirjoituksella näihin oman koneen ja palvelimen välisiin yhteyksiin, että ei satu siinä sinun ohjelmassa olemaan sellaista Wizardia. https://i.imgur.com/xGo8T9D.jpg . Ei ole ollut tuon Wisardin käyttöön mitään tarvetta, joten en siitä sen enempää tiedä. Ihmetyttää tuo että ohjelma vaatii tuon SSL yhteyden, eikä jätä sitä käyttäjän valittavaksi.

        Itse allekirjoitettu avain ei kuitenkaan sovellu verkkokaupan ylläpitoon, koska jokainen selain vain varoittelee sivulle siirtymisestä, ja jokainen siirtyminen on erikseen hyväksyttävä varoituksista huolimatta.

        """" Firefoxihan sinne menee nettiostoksille tuonne SSL-kauppaan omien, sisäisten certifikaattiensa avulla aivan helpolla. Mutta näistä FF:n omista certifikaateista tuskin on minulle mitään hyötyä, koska en niidenkään certifikaattien Private keytä saa haltuuni mistään.""""
        Eli selaimen osoiterivillä osoite alkaa näin: https:// niinkö ?

        Entä se että lataat omalle koneelle sen tietokannan, tai teet Script joka lataa ja suorittaa haluamasi MySQL kyselyt, tai jotain muuta vastaavaa toimintaa paikallisesti. En tiedä pystyisinkö täsmä ohjeisiin jos paljastat käyttämäsi praportointityökalun nimen.


      • Turbo-Urpo
        Turbo-Urpo kirjoitti:

        Onko sinulla cPanelissa nämä vastaavat kuvakkeet. Ellei noita ole, voi olla ettei hosting-palveluusi sisälly ollenkaan suojatun yhteyden tukea. Silloin on katseltava uutta palvelua jostakin jos verkkokauppan pitoa aiot jatkaa. Jos hosting-palveluusi on jossakin vaiheessa kuulunut Free SSL Certificates, joka on vanhentunut jo vuosia sitten, ota yhteyttä palvelun käyttötukeen, asia korjaantuu alle kolmen minuutin. Se vanhentuminen näkyy sieltä Status kuvakkeen takaa.

        Tuli tuossa mieleen että kun tämä MySQL Workbench sisältää velhon jolla voi itse generoida sertifikaatin omalla avaimen allekirjoituksella näihin oman koneen ja palvelimen välisiin yhteyksiin, että ei satu siinä sinun ohjelmassa olemaan sellaista Wizardia. https://i.imgur.com/xGo8T9D.jpg . Ei ole ollut tuon Wisardin käyttöön mitään tarvetta, joten en siitä sen enempää tiedä. Ihmetyttää tuo että ohjelma vaatii tuon SSL yhteyden, eikä jätä sitä käyttäjän valittavaksi.

        Itse allekirjoitettu avain ei kuitenkaan sovellu verkkokaupan ylläpitoon, koska jokainen selain vain varoittelee sivulle siirtymisestä, ja jokainen siirtyminen on erikseen hyväksyttävä varoituksista huolimatta.

        """" Firefoxihan sinne menee nettiostoksille tuonne SSL-kauppaan omien, sisäisten certifikaattiensa avulla aivan helpolla. Mutta näistä FF:n omista certifikaateista tuskin on minulle mitään hyötyä, koska en niidenkään certifikaattien Private keytä saa haltuuni mistään.""""
        Eli selaimen osoiterivillä osoite alkaa näin: https:// niinkö ?

        Entä se että lataat omalle koneelle sen tietokannan, tai teet Script joka lataa ja suorittaa haluamasi MySQL kyselyt, tai jotain muuta vastaavaa toimintaa paikallisesti. En tiedä pystyisinkö täsmä ohjeisiin jos paljastat käyttämäsi praportointityökalun nimen.

        Unohtui tuo kuvakaappaus tuosta Cpanelista: https://i.imgur.com/TzLhyqX.png


      • Varmenne_

        Varmenteen (eng. sertfikaatti) idea (salauksen lisäksi) on varmentaa jotta palvelin kone/aluenimi ovat oikeat, joten etei voi käyttää testi mielessä kaverin varmennetta. Googlaa miten luodaan itse itsellä alle kirjoitettu varmenne windowsiin, esim. openssl:llä.


    • Suojausjuttu-ei-aukene

      >> Onko sinulla cPanelissa nämä vastaavat kuvakkeet. Ellei noita ole, voi olla ettei
      hosting-palveluusi sisälly ollenkaan suojatun yhteyden tukea. >>

      Hitsi kun nolottaa olla näin pihalla näistä asioista...

      Kyllä ISP tarjoaa SSL:n, ja Web sen toisen kaupan (ei siis minun) sivut toimivatkin https-yhteydellä. Mutta kun en ymmärrä miten saan sen MySQL Win-Clientin yhteyden toimimaan suojatun yhteyden kautta.

      >> Free SSL Certificates, joka on vanhentunut jo vuosia sitten, ota yhteyttä palvelun käyttötukeen, asia korjaantuu alle kolmen minuutin. Se vanhentuminen näkyy sieltä Status kuvakkeen takaa.>>

      Se selvisi ISP:n puolelta, että he eivät suostu asentamaan noita LetsEncrypt sertifikaatteja. Selostus oli että niitä on käytetty PayPal phishingiin, ja että ne vanhenevat aina 3 kuukaudessa. Luin LetsEncryptin sivuilta, että serverithän uudistavat noita sertifikaatteja automaattisesti, joten ei se 3 kk aikaväli pitäisi ketään ISP:llä ylläpitotöinä rasittaa.

      Onkohan tuo Free SSL Certificates joku vielä uusi toimija, tuon LetsEncryptin ulkopuolelta vai? Voin kyllä kysäistä ISP:ltä, kunhan tiedän tarkalleen mitä kysyä.

      >>Tuli tuossa mieleen että kun tämä MySQL Workbench sisältää velhon jolla voi itse generoida sertifikaatin omalla avaimen allekirjoituksella näihin oman koneen ja palvelimen välisiin yhteyksiin, >>

      Noita sertifikaatteja kyllä saa luotua useallakin työkalulla. Mutta olen ollut luulossa että niitä pitää aina luoda pari, toinen serveripäähän ja toinen clientin päähän. Ja jos pitää ISP:n serverille sellainen asentaa, niin taas iskee oma Linux-kädettömyys. Mitä tietoja sen serveripään serifikaatin pitää sisältää, ja kuinka sen saa sinne ylös.

      >> Itse allekirjoitettu avain ei kuitenkaan sovellu verkkokaupan ylläpitoon, koska jokainen selain vain varoittelee sivulle siirtymisestä, ja jokainen siirtyminen on erikseen hyväksyttävä varoituksista huolimatta.>>

      Tuohan pieni pomppiminen ei haittaa, jos ei verkkokaupan asiakkaille pompi ikkunat silmille.

      >> Eli selaimen osoiterivillä osoite alkaa näin: https:// niinkö ?>>

      Jep, selaimessa on https, ja selaimella ei mitään ongelmia SSL-yhteyksien kanssa ole. Vain kyseinen Windows-pohjainen ohjelmakikkare ja sen suojattu MySQL yhteus on se ongelma.

      >>En tiedä pystyisinkö täsmä ohjeisiin jos paljastat käyttämäsi praportointityökalun nimen.>>

      Sorryt, tätä ei voi nyt kertoa. Se on kaverin kaverilta saatu, ja jonkinlainen kaupallinen kuvio on tuotteella takanansa, eikä halua mitään kysellyjä syntyvän kaverien perään.

      - - -
      >>Unohtui tuo kuvakaappaus tuosta Cpanelista: https://i.imgur.com/TzLhyqX.png>>

      Tuolla CPanelin Certificates sivulla on täysin tyhjää. Siellä on ”Upload Certificate” painike olemassa. Mutta minkä certifikaatin sinne ISP:n serverille uploadata, mistä sen servericertin saan? Tässä kohtaa olen pihalla.
      HUOM. Tarkennukseksi, tällä saitilla ei toimi edes selaimella https-yhteys, kaverin nettikaupassa toimii. Tarkoitus olisi joku sertifikaatti tähänkin saada ja laittaa, jolla samalla se Win-kilkkeen SSL-yhteys ratkeaisi.

      - - -
      Yhteenvetona siis, toistaiseksi tuo MySQL-yhteys pelaa, nimenomaan sen nykyisen, suojaamattoman yhteyden kautta. Mutta jonkinmoinen pelko on, että kiristyykö EU:n tuoman nettikaupan vaatimukset tämän vuoden aikana merkittävästikin.

      Niin paljon, että ISP:kin joutuu koville, ja sille annetaan pakkona alkaa edellyttää kaikkien yhteyksien menevän SSL-suojatun kanavan kautta. Siis jos saitilla on vaikka pienikin, henkilö/asiakasrekisteriksi tulkittavissa oleva lista asiakasnimistä olemassa.
      Alustavasti jo joulukuulla kaupittelivat SSL-certifikaatin ostoa.

      • Turbo-Urpo

        Mikäli verkkokaupasi osoiterivin alussa on kuvan mukainen vihreä lukko, on verkkokaupasi asiat siltä osin kunnossa. https://i.imgur.com/wQksDiW.jpg

        Jos slikkaat tällä sivulla ollessasi sitä lukkoa, ja sitten "Voimassa" kohtaa, avautuu sinulle PopUp ikkuna joka sisältää informaatiota SSL-palvelinvarmenteen myöntäjästä ja voimassa oloajasta kahden välilehden voimalla. Vastaavat tiedot löytyy myös sinun verkkokauppasi verkko-osoitteelle, ollessasi verkkokaupasi sivulla.

        Minä koitan keksiä mitä varten käyttämäsi praportointi-työkalu haluaa tietoja joita ei ole annettavissa, nyt en sitä tiedä.


    • Suojausjuttu-ei-aukene

      >> Jos slikkaat tällä sivulla ollessasi sitä lukkoa, ja sitten "Voimassa" kohtaa, avautuu sinulle PopUp ikkuna joka sisältää informaatiota SSL-palvelinvarmenteen myöntäjästä ja voimassa oloajasta kahden välilehden voimalla.>>

      Tämä on tietenkin triviaa, jonka aika moni löytää selaimestaan neuvomattakin. Firefox vaikka tallettaa omalle koneelle tuon severipään Varmennetiedoston. Siitä varmenteesta näkee varmenteen käyttötavan, myöntäjän nimen etc., yleensä isoja amerikkalaisfirmoja.

      Firefoxin tekijät ovat kyenneet kattavasti hankkimaan ja asentamaan selaimensa asennuspakettiin mukaan kattavan liudan varmenteita. Niillä joilla pääsee ilman kyselyjä kaikanlaisiin SSL/https suojattuihin verkkokauppoihin, pankkiyhteyksiin jne.

      - - -
      Alkuperäisen kysymyksen keskeinen asia on, että mistä voin itse joko kaupallisesti ostaa vastaavan Firefoxin tavalla toimivan varmenteen. Tai voinko kenties käyttää jotakin Open/Free varmenteita.

      Tuollaisen varmenteen ja sen PrivateKeyn syöttäisin sitten tuolle Windows-pohjaiselle raportointisovellukselle. Tämä sovellus ei tosiaan asioi Firefoxin läpi nettiin, vaan hoitaa https-liikenteensä itse.

      Tässä kohtaa on tiedossa aukkoa, että onko tuollaisen kaikissa Firefoxeissa vakiona olevan "yleisvarmenteen" ostaminen ylipäätään mahdollista.
      Firefoxissakin varmenteita on kymmenittäin, mikä noista on nimenomaan se joka käy tietyn verkkokaupan kanssa? Mistä tiedoista se on katsottavissa?

      • Turbo-Urpo

        Kyllä varmenteen voi ostaa, ja varmenteen myöntäjiä löydät vaikka slikkailemalla niitä vihreitä lukkoja, ja sitten sitä "voimassa" sanaa, ja sitten sen avautuvan PopUp ikkunan "Tiedot" välilehdelle, ja sieltä kohta "Myöntäjä", ja huomaat tämän sivun tiedoissa myöntäjän
        olevan "www.digicert.com". Myös tässä ylenpänä joku antoi linkin samaan paikkaan.

        Mutta jos osoiterivin alussa on jo nyt vihreä lukko, kuten täällä suomi24 sivulla, sinä et tarvitse ostaa varmenteita mistään, ja sinun verkkokauppasi asiat on kunnossa, Varmenne on verkko-osoite kohtainen. Sinun ei tarvitse silloin tuhlata rahaa SSL sertifikaatin ostoon.
        ______________________________________________________________________________________________

        Mutta MySQL tietokantaa ei oletusarvoisesti voida käyttää etänä.
        Ja tästä asiasta annat ristiriitaista tietoa, joka ei voi pitää paikkaansa.
        Sanot omalle koneellesi asentaneesi phpMyAdmin sovelluksen, ja että sinä sillä pääset palvelimella olevaan tietokantaan. Tämän ei pitäisi olla mahdollista, ennen kuin olet cPanelissa luetellut isäntäkoneet, joilla on pääsy tietokantaan ( https://i.imgur.com/3ennl37.png ). Tuon kuvakkeen takaa sinun tulee antaa oman koneen ulospäin näkyvä IP. Olethan huomannut että palvelimella cPanelissa on myös phpMyAdmin sovellus, joka sitten toimii localhostina, tämä tapa ei ole etä-käyttöä. Näkyy siinä kuvassa ensinmäisenä.
        ______________________________________________________________________________________________

        Jos vihreä lukko löytyy osoiterivin alusta, pääsemme keskustelemaan siitä kuinka luodaan yhteys etä-koneessa olevaan MySQL tietokantaan. Tätä keskustelua käydessä olisi hyvä että meillä molemilla on sama ohjelma jonka asetuksia laitetaan kohdalleen. Puhuin aiemin MySQL Workbench ohjelmasta joka on asennettavissa kaikkiin käyttöjärjestelmiin. Kun me tällä ohjelmalla on saatu yhteys aikaan, voit käyttään niitä tietoja hyväksi luodessasi sen ??? ohjelman yhteysasetuksia.
        ______________________________________________________________________________________________

        Jos vihreä lukkoa EI löydy osoiterivin alusta, on sinun hankittava SSL sertifikaati, vaikka jo esitetyistä paikoista. Minä en ole koskaan itse ostanut sitä, se on kuulunut ilmaisena etuna hosting-palveluun, jolloin tämän asian käsittely minun osalta voi päättyä tähän.


      • Turbo-Urpo
        Turbo-Urpo kirjoitti:

        Kyllä varmenteen voi ostaa, ja varmenteen myöntäjiä löydät vaikka slikkailemalla niitä vihreitä lukkoja, ja sitten sitä "voimassa" sanaa, ja sitten sen avautuvan PopUp ikkunan "Tiedot" välilehdelle, ja sieltä kohta "Myöntäjä", ja huomaat tämän sivun tiedoissa myöntäjän
        olevan "www.digicert.com". Myös tässä ylenpänä joku antoi linkin samaan paikkaan.

        Mutta jos osoiterivin alussa on jo nyt vihreä lukko, kuten täällä suomi24 sivulla, sinä et tarvitse ostaa varmenteita mistään, ja sinun verkkokauppasi asiat on kunnossa, Varmenne on verkko-osoite kohtainen. Sinun ei tarvitse silloin tuhlata rahaa SSL sertifikaatin ostoon.
        ______________________________________________________________________________________________

        Mutta MySQL tietokantaa ei oletusarvoisesti voida käyttää etänä.
        Ja tästä asiasta annat ristiriitaista tietoa, joka ei voi pitää paikkaansa.
        Sanot omalle koneellesi asentaneesi phpMyAdmin sovelluksen, ja että sinä sillä pääset palvelimella olevaan tietokantaan. Tämän ei pitäisi olla mahdollista, ennen kuin olet cPanelissa luetellut isäntäkoneet, joilla on pääsy tietokantaan ( https://i.imgur.com/3ennl37.png ). Tuon kuvakkeen takaa sinun tulee antaa oman koneen ulospäin näkyvä IP. Olethan huomannut että palvelimella cPanelissa on myös phpMyAdmin sovellus, joka sitten toimii localhostina, tämä tapa ei ole etä-käyttöä. Näkyy siinä kuvassa ensinmäisenä.
        ______________________________________________________________________________________________

        Jos vihreä lukko löytyy osoiterivin alusta, pääsemme keskustelemaan siitä kuinka luodaan yhteys etä-koneessa olevaan MySQL tietokantaan. Tätä keskustelua käydessä olisi hyvä että meillä molemilla on sama ohjelma jonka asetuksia laitetaan kohdalleen. Puhuin aiemin MySQL Workbench ohjelmasta joka on asennettavissa kaikkiin käyttöjärjestelmiin. Kun me tällä ohjelmalla on saatu yhteys aikaan, voit käyttään niitä tietoja hyväksi luodessasi sen ??? ohjelman yhteysasetuksia.
        ______________________________________________________________________________________________

        Jos vihreä lukkoa EI löydy osoiterivin alusta, on sinun hankittava SSL sertifikaati, vaikka jo esitetyistä paikoista. Minä en ole koskaan itse ostanut sitä, se on kuulunut ilmaisena etuna hosting-palveluun, jolloin tämän asian käsittely minun osalta voi päättyä tähän.

        Laitan tähän vielä kuvan josta selviää kohta minkä palvelimen tietokannat on käsittelyssä, kuvassa on localhost eli paikallisen oman koneen tietokannat, ei yhteyttä etä-koneeseen.
        https://i.imgur.com/2DoliCR.png


      • Turbo-Urpo
        Turbo-Urpo kirjoitti:

        Kyllä varmenteen voi ostaa, ja varmenteen myöntäjiä löydät vaikka slikkailemalla niitä vihreitä lukkoja, ja sitten sitä "voimassa" sanaa, ja sitten sen avautuvan PopUp ikkunan "Tiedot" välilehdelle, ja sieltä kohta "Myöntäjä", ja huomaat tämän sivun tiedoissa myöntäjän
        olevan "www.digicert.com". Myös tässä ylenpänä joku antoi linkin samaan paikkaan.

        Mutta jos osoiterivin alussa on jo nyt vihreä lukko, kuten täällä suomi24 sivulla, sinä et tarvitse ostaa varmenteita mistään, ja sinun verkkokauppasi asiat on kunnossa, Varmenne on verkko-osoite kohtainen. Sinun ei tarvitse silloin tuhlata rahaa SSL sertifikaatin ostoon.
        ______________________________________________________________________________________________

        Mutta MySQL tietokantaa ei oletusarvoisesti voida käyttää etänä.
        Ja tästä asiasta annat ristiriitaista tietoa, joka ei voi pitää paikkaansa.
        Sanot omalle koneellesi asentaneesi phpMyAdmin sovelluksen, ja että sinä sillä pääset palvelimella olevaan tietokantaan. Tämän ei pitäisi olla mahdollista, ennen kuin olet cPanelissa luetellut isäntäkoneet, joilla on pääsy tietokantaan ( https://i.imgur.com/3ennl37.png ). Tuon kuvakkeen takaa sinun tulee antaa oman koneen ulospäin näkyvä IP. Olethan huomannut että palvelimella cPanelissa on myös phpMyAdmin sovellus, joka sitten toimii localhostina, tämä tapa ei ole etä-käyttöä. Näkyy siinä kuvassa ensinmäisenä.
        ______________________________________________________________________________________________

        Jos vihreä lukko löytyy osoiterivin alusta, pääsemme keskustelemaan siitä kuinka luodaan yhteys etä-koneessa olevaan MySQL tietokantaan. Tätä keskustelua käydessä olisi hyvä että meillä molemilla on sama ohjelma jonka asetuksia laitetaan kohdalleen. Puhuin aiemin MySQL Workbench ohjelmasta joka on asennettavissa kaikkiin käyttöjärjestelmiin. Kun me tällä ohjelmalla on saatu yhteys aikaan, voit käyttään niitä tietoja hyväksi luodessasi sen ??? ohjelman yhteysasetuksia.
        ______________________________________________________________________________________________

        Jos vihreä lukkoa EI löydy osoiterivin alusta, on sinun hankittava SSL sertifikaati, vaikka jo esitetyistä paikoista. Minä en ole koskaan itse ostanut sitä, se on kuulunut ilmaisena etuna hosting-palveluun, jolloin tämän asian käsittely minun osalta voi päättyä tähän.

        Tein vielä tuollaisen lyhyen PHP ohjelman jolla voit testata salliiko hosting-palvelusi MySQL tietokannan lukemisen etänä. Jos ohjelma pystyy muodostamaan yhteyden tietokantaan, on asia hosting-palvelun puolesta kunnossa, jolloin meidän pitää vain löytää sen ??? ohjelman oikeat asetukset. Muussa tapauksessa, et pääse etänä käsiksi tietokantaan millään ohjelmalla, ja sinun on neuvoteltava palvelun tarjoajan kanssa saatko poikkeus-oikeuksia käyttää tietokantaa etänä omalta koneeltasi.

        1. $palvelin='';
        2. $tunnus='';
        3. $salasana='';

        1. Tähän laitat palvelimen verkko-osoitteen, ilman protokollan etuliitettä (https tai http).
        2. Oma tunnuksesi millä kirjaudut cPaneliin.
        3. Salasan jota käytät cPaneliin kirjautuessasi.

        Kuva: https://i.imgur.com/vlVTy91.jpg


      • Turbo-Urpo
        Turbo-Urpo kirjoitti:

        Tein vielä tuollaisen lyhyen PHP ohjelman jolla voit testata salliiko hosting-palvelusi MySQL tietokannan lukemisen etänä. Jos ohjelma pystyy muodostamaan yhteyden tietokantaan, on asia hosting-palvelun puolesta kunnossa, jolloin meidän pitää vain löytää sen ??? ohjelman oikeat asetukset. Muussa tapauksessa, et pääse etänä käsiksi tietokantaan millään ohjelmalla, ja sinun on neuvoteltava palvelun tarjoajan kanssa saatko poikkeus-oikeuksia käyttää tietokantaa etänä omalta koneeltasi.

        1. $palvelin='';
        2. $tunnus='';
        3. $salasana='';

        1. Tähän laitat palvelimen verkko-osoitteen, ilman protokollan etuliitettä (https tai http).
        2. Oma tunnuksesi millä kirjaudut cPaneliin.
        3. Salasan jota käytät cPaneliin kirjautuessasi.

        Kuva: https://i.imgur.com/vlVTy91.jpg

        Kirjoitusvaivalta säästyt kun käyt ja kopioit sen tuolta: https://pastebin.com/0jxY4web


    • Suojausjuttu-ei-aukene

      >> Mutta jos osoiterivin alussa on jo nyt vihreä lukko, kuten täällä suomi24 sivulla, sinä et tarvitse ostaa varmenteita mistään, ja sinun verkkokauppasi asiat on kunnossa,>>

      Vastaajia lienee ketjussa useampiakin jo mukana. Pitäisi kuitenkin jaksaa lukea esitetty kysymyskin, jonka saman kysymyksen olen esittänyt eri tavoilla, jo ainakin 3 eri kertaan.

      1.) Tarvitsen yksinkertaisesti clientti* päähän, Windows-koneelleni ja sen Windows-ohjelmalle SSL-certifikaatin. Jonka avulla se Windows-ohjelma pääsee netin SSL-suojatuille koneille samalla tavalla kuin Firefoxikin pääsee.

      >> Mutta MySQL tietokantaa ei oletusarvoisesti voida käyttää etänä.
      Ja tästä asiasta annat ristiriitaista tietoa, joka ei voi pitää paikkaansa.
      Sanot omalle koneellesi asentaneesi phpMyAdmin sovelluksen, ja että sinä sillä pääset palvelimella olevaan tietokantaan. Tämän ei pitäisi olla mahdollista,>>

      2.) Kylllä onnistuu ja toimii mainiosti. Mutat kuten olen jo edellä pariin kertaan sanonut, tämä toimii nykyisellään vain suojaamattomiille, ei SSL-salatuille Web-palvelimille. Mutta haluaisin päästä myös suojatuillekin palvelimille, toki serverin omistajan täydellä suostumuksella. Silloin palataan kohtaan 1.) takaisin, että mistä saan sen clientti pään certifikaatin. Sellaisen joka esim. Firefoxilla itsellään näköjään on valmiina.

      >>Tein vielä tuollaisen lyhyen PHP ohjelman jolla voit testata salliiko hosting-palvelusi MySQL tietokannan lukemisen etänä. Jos ohjelma pystyy muodostamaan yhteyden tietokantaan, on asia hosting-palvelun puolesta kunnossa, jolloin meidän pitää vain löytää sen ???>>

      3.) Tuon testaaminen on turhaa, koska yhteys toimii. Olen jo pariin kertaan edellisissä vastauksissa, ja kerran tässä vastauksessa sanonut, että MySQL yhteys toimii ei-salatun yhteyden ylitse. Tästäkin päästään taas takaisin kohtaan 1.).

      Että onko ylipäätään mahdollista tilata jostakin pelkästään clientti pään certifikaatti, jolla SSL-suojatuolle (luvallisille) saiteille pääsee. Vertailuna puhun Firefoxista, koska sen varmenteille pääsee vaivatat aika moneen paikakan, Web-kauppoihin. Pankkeihin jne.

      - - -
      Arvostan sitä että joky ylipäätään vaiitsii kirjoitella vastauksia. Mutta jollakin tavoin puhumme ristiin, puhumme eri asioista.
      En vieläkään ole varma että eikö "Turpo-urpo" vastaaja oikeasti ymmärrä mitä kysyn.

      Vai eikö hän tai kukaan muukaan paikalla olija osaa vastata kysymykseen. Että onko tuollaisia pelkkiä (Firefoxin tyyppisiä) Client sertifikaatteja ylipäätään ostettavissa jostakin?
      Jos siinä on jokin tekninen este tai perusteltu muu mahdottomuus, niin sellaisen vastauksen voin kyllä hyväksyäkin.

    • Debianisti

      Varmenne annetaan aina serveripäähän. Selaimessa on taas varmenteiden myöntäjien tunnisteet niin että selain pystyy tunnistamaan serverin varmenteen aitouden myöntäjän allekirjoituksesta.

      Mikäli haluat käyttää Phpmyadminia suojatun yhteyden läpi niin säätö pitää tehdä Apachen konffeihin sitten kun serverille on asennettu sertifikaatti.

      • vaihtoehto

        Tai teet admin käyttöliittymän sivulle ja sillä katsot tietokantaa.


    • Suojausjuttu-ei-aukene

      > Mikäli haluat käyttää Phpmyadminia suojatun yhteyden läpi niin säätö pitää tehdä
      > Apachen konffeihin sitten kun serverille on asennettu sertifikaatti.

      Tämä asia nyt ei näköjään vaan mene läpi. Tai sitten joku 'vastailija' kirjoittelee ja jankkaa tarkoituksella trollimaisesti juttuansa.

      Kuten olen noin 5 kertaa edellä jo sanonut, tarvitsen siltä *Windows-pohjaiselta applickaatiolta* yhteyden netin läpi Web serverille. Ja tälle Windows-ohjelmalle tarvitsisin sen clienttipään certifikaatin, ja sen kyseisen certifikaatin private keyn.

      Mutta mistä tällaisen certfikaatin voi saada?

      Firefoxin tekijät ovat saaneet vaivatta, ja keltään Web-kaupan tai Web-serverin omistajalta lisätietoja kyselemättä sellaisia. Ovat tyrkänneet ne certifikaatit Firefoxiinsa, ja SSL-yhteydet pelaa.
      - - -
      Onko olemassa jokin tekninen/suojauspohjainen este, että minä en voi ostaa maailmalta mistään samanlaista certifikaattia, joita Firefoxissa on? Ovat niin helposti toimivan tuntuisia.
      Jos sellainen este on olemassa, niin hyväksyn tietenkin asian ja vastauksen.

      • Debianisti

        Siis varmenne toimii niin että kun serverin pitäjä tarvitsee varmenteen niin hän ostaa tai saa ilmaiseksi sertifikaatin joltain varmentajalta. Varmentaja allekirjoittaa myöntämänsä varmenteen omalla salaisella avaimellaan. Selaimen tekijä taas on koonnut kaikkien luotettavana pitämiensä varmentajien julkiset avaimet (jotka ovat kaikkien saatavilla) valmiiksi selaimeen käyttäjän puolesta. Selain pystyy sitten varmentajan julkisella avaimella toteamaan nettipalvalun sertifikaatin aitouden.

        Todellisuudessa kättely on hieman monimutkaisempi koska siinä sovitaan myös algoritmeista ja yhteyden salausavaimesta.


    • Varmenne_

      """Firefoxin tekijät ovat kyenneet kattavasti hankkimaan ja asentamaan selaimensa asennuspakettiin mukaan kattavan liudan varmenteita. Niillä joilla pääsee ilman kyselyjä kaikanlaisiin SSL/https suojattuihin verkkokauppoihin, pankkiyhteyksiin jne. "

      Niilä ei pääse verkkokauppoihin tai pankkeihin. Verkkokauppaan ja pankkiin pääsee vain niiden omalla varmenteella (muuta ei tarvita), jonka verkko kauppa lähettää automaattisesti kun siihen ottaa yhteyden (tämä sisältää kaikki tiedot, jotta salattu yhteys on mahdollista luoda). Ne Firefox:n mukana tulevat varmenteet ovat vain luotettujen varmenteiden myöntäjä tahojen (CA) varmenteita. Homma siis toimii siten, että kun verkkokauppa lähettää oman varmenteen, niin Firefox pyrkii varmentamaan kyiseisen varmenteen aitouden sen myöntäjä tahoilta. Tätä varten se tarvitsee niitä myötäjä tahojen varmenteita.



      """Alkuperäisen kysymyksen keskeinen asia on, että mistä voin itse joko kaupallisesti ostaa vastaavanFirefoxin tavalla toimivan varmenteen."""

      Ei ole mitään Firefox:n tavoin toimivia varmenteita! Jos haluat että käyttäjät pääsevät HTTPS sivuillesi ilman ylinmääräisiä hyväksymisiä, niin hommaat varmenteen jonka Firefox kykenee varmentamaan luotettavasti ilman kikkailua, (eli myöntäjä ketju päättyy varmentajaan jonka varmenteen Firefox asentaa asennuksen yhteydessä). Tälläisia varmeiteita on esimerkiksi Let's Encrypt tarjoamat varmenteet. Tämän lisäksi varmenteen on oltava voimassa, ja sen on oltava myönnetty sille verkko tunnukselle/palvelimelle jossa se palvelin ohjelmisto johon asikas ottaa yhteyden, jotta Firefox ei herjaa.

      Se miten joku muu sovellus kuin Firefox toimii, kuten mysql -client, on täysin sen oma asia, (esim. pyrkiikö varmentamaan varmenteen aitouden varmentajan myöntäjältä, ja käyttääkö siihen varmenteita, tai onko joku etukäteis joukko). Esimerkiksi mysqlssä käyttäjä oikeuksista voi määritellä SSL:n pakolliseksi, kuten myös jopa vaatia asiakkaan päältä varmenteen, (ei Firefox:ssa mitään täläistä ole, ei Web sivu voi vaatisa asikaan päältä varmennetta!!!).

      Sen "Firefox tyylisen verkkokauppa varmenteen" voit hankkia sieltä Let's Encrytilta. Itse itse allekirjoitetun varmenteen voi tehdä vaikka alla olevasta linkista. OpenSSL on yleisesti ottaen varmenteen tekoon. Jos haluat tehdä CA varmentee, niin se on vain varmenne jota käytetään muiden varmenteiden allekirjoittamiseen, ei sen kummempaa.

      https://www.sslchecker.com/csr/self_signed

      Jos se tulee mysql:ään, niin varmaan kannattaa katsoa sieltä ohjeet.

      https://dev.mysql.com/doc/refman/8.0/en/encrypted-connections.html


      """Onko olemassa jokin tekninen/suojauspohjainen este, että minä en voi ostaa maailmalta mistään samanlaista certifikaattia, joita Firefoxissa on?"""

      Samanlaista? Firefox yhteisö on hyväksynyt ne varmenteet asennettavaki asennuksen yhteydessä. Voit toki ostaa eritason varmenteita; hinnat löytyvät googlesta mitä kukin pyytää.

      https://partnergate.sonera.com/sslorder.html


      """Jos sellainen este on olemassa, niin hyväksyn tietenkin asian ja vastauksen. """

      Eihän kukaan sinulle toimivaa varmennetta voi luoda ja myydä, jos et tiedä mitä halut. Jos varmenne on mysql asiakas päähän, niin silloinhan mysql serveri voi vaatia jotta varmenteen CA on sen listalla, eikä silloin auta vaikka CA olisi Firefox:n listalla.

    • Turbo-Urpo

      En malta olla vielä sotkautumatta keskusteluun, joten pistän pari riviä SSH yhteyden muodostamisesta palvelimen ja oman koneen välille.

      Jotta SSH yhteys voidaan muodostaa, on molemissa päissä oltava asennettuna SSH palvelin ohjelmisto, jotka mahdollistavat liikenteen oletusarvoisesti portissa 22. Oletan että ??? ohjelman asennus on tämän tehnyt sinun koneelle, mutta muille joilla sitä ei ole, asennus tehdään näin:

      sudo apt-get install openssh-client openssh-server

      Varsinaista konfausta ei tarvita, mutta mikäli haluat vaihtaa portin jota SSH palvelin kuuntelee muuksi kuin 22, voit muutta sen näin:

      sudo xed /etc/ssh/sshd_config

      Tuon muutoksen jälkeen palvelin uudelleen käynnistetään näin:

      sudo /etc/init.d/ssh restart

      Ja toimivuutta voit testata näin:

      ssh -p 22 käyttäjä[email protected]

      Mikäli yhtetyttä ei synny, saat viestin:

      ssh: connect to host 127.0.0.1 port 22: Connection refused

      Tuo tarkoittaa sitä että palvelin ei vastaa portissa 22.
      ______________________________________________________________________________________________

      No omassa päässä asiat on helppo järjestää, mutta palvelin päässä asioista päättää hostaajasi. Voi sanoa että oletusarvoisesti palvelin päässä ei portti 22 ole auki. Se on joku muu, tai mitään porttia ei ole laitettu kuuntelemaan SSH liikennettä.

      Vanhalle asiakkaalle hostaaja saattaa venyä asetuksiin, joilla yhteys saadaan muodostumaan, joka tapauksessa asia on neuvoteltava hostaajan kanssa, joka tulee sinulta kysymään mihinkä sinä tarvitset sitä. Ja kun asia on neuvoteltu kuntoon voit testata yhteyden näin:

      ssh -p 1144 TUNNUS@DOMAIN

      1144 on portti jota palvelin on asetettu kuuntelemaan.
      TUNNUS on cPaneliin kirjautumis tunnuksesi.
      DOMAIN on palvelimen verkko-osoite ilman protokolla liitteitä ja hakemisto-haaroja, tai vain palvelimen IP.

      Jos yhteys muodostuu, tullaan sinulta kysymään salasanaa, ja siihen annat cPaneliin kirjautumisessa käyttämäsi salasana, Tai sitten hostaajan kanssa sopimasi tunnukset ja salasanat.

      Kaikki tässä ketjussa antamani esimerkit on käytännössä testattu Linux Mintin alaisuudessa. Windows on ihan perseestä ohjelmointi ja palvelin käytössä. Tätä ei ole tarkoitettu vastaukseksi kysymykseen, vaan asiaan muuten liittyvänä, joka saattaa auttaa ongelmia ratkoessasi.

    • Suojausjuttu-ei-aukene

      >>Selaimen tekijä taas on koonnut kaikkien luotettavana pitämiensä varmentajien julkiset avaimet (jotka ovat kaikkien saatavilla) valmiiksi selaimeen käyttäjän puolesta. Selain pystyy sitten varmentajan julkisella avaimella toteamaan nettipalvalun sertifikaatin aitouden.>>

      Mutta eihän tuollainen pelkkä selainpään tekemä toteaminen tai tunnistaminen riitä vielä minnekään. Suojattu https/SSL yhteus tarkoittaa nimenomaan salattua liikennöintiä, molempiin suuntiin.
      https://en.wikipedia.org/wiki/HTTPS

      Web-serveriltä tulevat salatut vastaussanomat pitää pystyä selaimen päässä avaamaan, purkamaan. Selainohjelmassa (Firefox tms.) pitää olla Web-serverin varmenteen kanssa yhteensopiva tai muuten hyväksymä varmenne, ja Firefoxilla pitää olla hallussaan oman varmenteensa Private Key. Tuolla Private Keylla Firefox purkaa sanoman, jonka serveripää oli suojannut omalla Public keyllään.

      - - -
      En ole käytännön tasolla tuttu näiden asioiden kanssa. Public ja Private key, ja certifikaattien vaihtamiset clientin ja serverin välillä jne, nämä kaikki ovat aika lailla hakusessa.

      Tosiaan en edes tiedä millainen Certifikaatti client päähän, eli sille Windows ohjelmalleni (ei siis selaimelle) pitäisi jostakin hankkia.

      • Varmenne_

        """Web-serveriltä tulevat salatut vastaussanomat pitää pystyä selaimen päässä avaamaan, purkamaan. Selainohjelmassa (Firefox tms.) pitää olla Web-serverin varmenteen kanssa yhteensopiva tai muuten hyväksymä varmenne, ja Firefoxilla pitää olla hallussaan oman varmenteensa Private Key. Tuolla Private Keylla Firefox purkaa sanoman, jonka serveripää oli suojannut omalla Public keyllään. """

        Selain saa Web palvelin ohjelmistolta sen varmenteen, ja lähettää puolestaan itse generoimansa julkisen avaimen palvelimelle. Selain ei siis tarvitse omaa varmentta jotta yhteys voidaan salata kahteen suuntaan. Selain luo lennosta julkisen ja salaisen avaimen, ja välittää sen oman julkisen avaimen web palvelimelle siinä yhteyden alussa.

        Selain ohjelmat pyörivät usein läppäreissä, kännyköissä, yms. jotka ovat ilman kiinteää verkko tunnusta ja usein viellä NAT:n takana, joten ei niille edes saa luotettavaa Firefox:n tyyppistä (mitä tarkoittaakaan) varmenetta (esim. Let's Encrypt:n myöntämää). Näin ollen hyöty selain pään varmenteesta olisi täysi 0, eli palvelin ohjelmiston joutuisi hyväksymään kaikki varmenteet; ja yhteyshän on ilman niitäkin jo salattu. Web palvelimen ajatus on yleensä, että kuka tahansa voi ottaa yhteyden siihen ja mistä tahansa (ja tämähän ei toteudu jos asiakkaan päältä vaaditaan varmennetta; puhumattakaan jos varmenteen aitouden pitäisi olla varmistettavissa).

        Jossakin sql palvelin ohjelmistossa lähtäköhta ontäysin eri. Toisin kuin Web:ssä niin koko lähtökohta on, että vain tietty joukko voi ottaa yhteyden palvelin ohjelmistoon. Sql asiakas yhteydet tapahtuu myös valtaosin tunnetuista osoitteesta joilla on oma verkkotunnus (esim. web palvelin) . Siellä mysql manuaalissa se on selitty mitä vaihtoehtoja salaukseen on, ja mitä mysql asiakas ohjelmiston varmenteelta edellytään missäkin tilanteessa.


      • Debianisti

        Sertifikaatti sisältää salaisen ja julkisen myöntäjän allekirjoittaman avaimen. Kättely tapahtuu lyhykäisyydessään seuraavasti.

        Selain ottaa yhteyttä serveriin.

        Serveri lähettää julkisen avaimensa allekirjoituksineen selaimelle.

        Selain tarkistaa allekirjoituksesta onko sertifikaatti aito. Jos näin on, selain luo kertakäyttöisen symmetrisen avaimen, salaa sen serverin julkisella avaimella ja lähettää sen serverille.

        Serveri purkaa viestin salaisella avaimellaan ja saa symmetrisen avaimen, jolla se salaa selaimelle lähetettävän kuittausviestin.

        Tämän jälkeen kaikki liikenne salataan tällä symmetrisellä avaimella. Avain on kertakäyttöinen ja käytetään vain tässä istunnossa.

        Kättelyvaiheessa lähetetään muutakin teknistä tietoa ja satunnaisdataa, jolla varmistetaan ettei kukaan pääse kättelyvaiheessa väliin ja vakoilemaan liikennettä.


    • Suojausjuttu-ei-aukene

      >> Selain saa Web palvelin ohjelmistolta sen varmenteen, ja lähettää puolestaan itse generoimansa julkisen avaimen palvelimelle. Selain ei siis tarvitse omaa varmentta jotta yhteys voidaan salata kahteen suuntaan. Selain luo lennosta julkisen ja salaisen avaimen, ja välittää sen oman julkisen avaimen web palvelimelle siinä yhteyden alussa.>>

      Tuossa selostuksessa on paljon perää, ja vaikuttaa uskottavalta että kättely ja avaimien vaihtaminen menisi juuri tuossa järjestyksessä.
      Mutta kysymys kuuluu. miksi sitten Firefoxilla ja kaikilla muillakin selaimilla kuitenkin on liuta omia sertifikaatteja mukanaan, jos niitä ei koskaan tarvita?

      Se oma Windows-pohjaisen softan kysymykseni ei myöskään täysin ratkea tällä kättelykuvauuksella vielä. Win-ohjelma käyttää Open SSL:n tarjoamia palveluja. Se ei ole niin kehittynyt, että se osaisi itse luoda noita sertifikaatteja lennosta. Win-ohjelma pyytää käyttäjää antamaan sille SSL-certfikaatin ja sen private keyn valmiina.

      Ilmeisesti tuo kättelyvaihe kun selain tekee "lennosta" uuden certifikaatin korvataan sillä että selainta vastaava Windows-ohjelma lähettää oman SSL-certifikaattinsa serverille. Mutta käykö tässä kohtaa mikä tahansa SSL-varmenne, ja serveripää sellaisen hyväksyy?

      Firefoxillakin on mukana noin 20 erilaista certifikaattia aikaisemilta vuosilta jolloin se itsekään ei ilmeisesti osannut "lennosta" luoda niitä tarvittavia certifikaatteja. Silloin se poimi jonkun noista certifikaateista, jonka se arveli parhaiten kelpaavan serverille, ja lähetti sen.

      Jos nyt yhden certifikaatin ajattelisi kokeeksi jostain hommata sille Win-ohjelmalle, niin millä perusteilla sellaisen valitsee? Käykö mikä vain? Toimittajia on kymmenittäin.

      • Debianisti

        Selain ei luo omaa avainparia mikä on huomattavan hidas operaatio vaan symmetrisen avaimen, jonka teko on nopeaa koska se on vain satunnainen bittijono. Tämän avaimen selain salaa serverin julkisella avaimella ja lähettää takaisin.

        Selaimessa ei myöskään ole sertifikaatteja vaan luotettavana pidettyjen varmentajien julkisia avaimia. Koska varmenteen allekirjoitus on salattu varmentajan salaisella avaimella niin sen saa varmentajan julkisella avaimella auki.

        Kyse on siis epäsymmetrisestä salauksesta ja avainpareista.
        Salaisella avaimella salatun saa julkisella avaimella auki.
        Julkisella avaimella salatun saa salaisella avaimella auki.

        Varsinainen liikennöinti taas tapahtuu kääyttäen symmetristä salausta koska se on moninverroin nopeampi menetelmä kuin kahden avaimen salaus.


    • Suojausjuttu-ei-aukene

      >> Selaimessa ei myöskään ole sertifikaatteja vaan luotettavana pidettyjen varmentajien julkisia avaimia. Koska varmenteen allekirjoitus on salattu varmentajan salaisella avaimella niin sen saa varmentajan julkisella avaimella auki.>>

      Mikäli kukaan muu ei kommentoi että selaimen kättely ja avaintenvaihto ei tapahtuisi juuri tuossa järjestyksessä, niin pidän tätä toistaiseksi ymmärrettävimpänä ja selkeimpänä vastauksena.

      Selaimesta kun pompataan Windows-ohjelman puolelle, niin edelleen jää vähän aukkoa. Sen helppien antama tieto on että tarvitaan "SSL Certificate and SSL Private Key" . Toisin kuin selainohjelma yllä omissa kättelyissään, niin tämäpä Win-härpäke vaatiikin certifikaatin ja sen private keyn.

      Näen Web-serveriltä että sen käyttämä varmenne on "CN = RapidSSL SHA256 CA". Eli varmentajafirma lienee siis tällainen yritys.
      https://www.tbs-certificates.co.uk/FAQ/en/geotrust-gv.html

      Taitaa mennä hakuammunnan puolelle jos tilaan tuolta SSL Certifikaatin, ja alan kokeilla? Saattaa alkaa yhteys toimia, mutta voi olla toimimattakin. Onko kellään mitään arviota tällaisesta asiasta? Kannattaako ihan onni-arviolta tilailla?

      Asia kaikkineen ja sen ongelma-alua on alkanut tämän keskusteluketjun aikana valjeta. Kiitokset kaikille osallistujille ja kommentoijille.
      Koetan vielä löytää muualtakin netistä lisätietoja asiaan, jos täällä alkaa kommentoinnit loppumaan tämän SSL-ketjun suhteen.

      • Turbo-Urpo

        Tuskinpa näistä kuvista on haittaakaan niin pistin jakoon pari, joissa luodaan SSH todentamiseen tarvittava julkinen ja yksityinen avain, ja julkinen avain siirretään palvelimelle. En saatellut asiaa loppuun koska pelkäsin sotkevani palvelun puolesta saamani avaimet.

        Kuva1: https://i.imgur.com/tWoGNp4.jpg
        Kuva2: https://i.imgur.com/kEyNb2n.jpg


    • Suojausjuttu-ei-aukene

      >> Kuva1: https://i.imgur.com/tWoGNp4.jpg

      Millähän ohjelmalla tuossa ollaan luomassa SSL-avainta? Polkurakenne viittaisi Windowsin sijasta Unix-koneella tehtävään operointiin.
      https://linuxhint.com/generate-ssh-keys-on-linux/

      Tekemisen työkalu tai sen käyttöjärjestelmä sinänsä ei liene niin merkittävä. Vakiomallisen SSL Certin voi luoda Windowsissa vaikka ilmaisella Open SSL :äkin. Jos se sitten vaan millään muotoa kelpaa Webin palvelimille. Oma käytännön tason kokemus Linuxilla on 0,00 tässsä kohtaa.

      Minkähän vuoksi tuossa puhutaan SSL:n sijasta SSH avaimesta? Menin itse lisää sekaisin tämän suhteen.

      >> Kuva2: https://i.imgur.com/kEyNb2n.jpg

      Tässä kohtaa kehoitetaan käyttämään komentoa "ssh-copy-id". Pitäisikö tuollainen komento pystyä suorittamaan Web-serveirin päässä, sen shell oikeuksilla?
      Itsellä on pääsy vain CPaneliin, ja sen kautta ja sen komennnoilla pitäisi operoinnit onnistua, jos ylipäätään onnistuu.

    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Luetuimmat keskustelut

    1. Kotkalainen Demari Riku Pirinen vangittu Saksassa lapsipornosta

      https://www.kymensanomat.fi/paikalliset/8081054 Kotkalainen Demari Riku Pirinen vangittu Saksassa lapsipornon hallussapi
      Kotka
      86
      2331
    2. Olen tosi outo....

      Päättelen palstajuttujen perusteella mitä mieltä minun kaipauksen kohde minusta on. Joskus kuvittelen tänne selkeitä tap
      Ikävä
      18
      2267
    3. Vanhalle ukon rähjälle

      Satutit mua niin paljon kun erottiin. Oletko todella niin itsekäs että kuvittelet että huolisin sut kaiken tapahtuneen
      Ikävä
      19
      1788
    4. Oletko sä luovuttanut

      Mun suhteeni
      Ikävä
      105
      1477
    5. Maisa on SALAKUVATTU huumepoliisinsa kanssa!

      https://www.seiska.fi/vain-seiskassa/ensimmainen-yhteiskuva-maisa-torpan-ja-poliisikullan-lahiorakkaus-roihuaa/1525663
      Kotimaiset julkkisjuorut
      91
      1440
    6. Hommaatko kinkkua jouluksi?

      Itse tein pakastimeen n. 3Kg:n murekkeen sienillä ja juustokuorrutuksella. Voihan se olla, että jonkun pienen, valmiin k
      Sinkut
      163
      1248
    7. Aatteleppa ite!

      Jos ei oltaisikaan nyt NATOssa, olisimme puolueettomana sivustakatsojia ja elelisimme tyytyväisenä rauhassa maassamme.
      Maailman menoa
      257
      1042
    8. Mitä sanoisit

      Ihastukselle, jos näkisitte?
      Tunteet
      63
      953
    9. Onko se ikä

      Alkanut haitata?
      Ikävä
      78
      919
    10. Omalääkäri hallituksen utopia?

      Suurissa kaupungeissa ja etelässä moinen onnistunee. Suuressa osassa Suomea on taas paljon keikkalääkäreitä. Mitenkäs ha
      Maailman menoa
      174
      903
    Aihe