Mikä varmenteessa mättää?

Kyseessä on Apache2-serveri Ubuntu Linux -alustalla.

Omavarmenteesta tosiaan tulee aina herja, mutta tämä virheellisestä allekirjoituksesta kertova herja on sikäli pahempi, että se estää sivulle pääsyn kokonaan. Normaalistihan pitäisi tulla vain herja ei-luotetusta varmentajasta, jonka pystyy ohittamaan.

Mielestäni perustin avaimet juuri viittaamasi ohjeen mukaisesti, ja salauskin on poistettu avaimesta. Tämä tuntuu täysin henkimaailman jutulta!

Harmenne kirjoitti:

Kyseessä on Apache2-serveri Ubuntu Linux -alustalla.

Omavarmenteesta tosiaan tulee aina herja, mutta tämä virheellisestä allekirjoituksesta kertova herja on sikäli pahempi, että se estää sivulle pääsyn kokonaan. Normaalistihan pitäisi tulla vain herja ei-luotetusta varmentajasta, jonka pystyy ohittamaan.

Mielestäni perustin avaimet juuri viittaamasi ohjeen mukaisesti, ja salauskin on poistettu avaimesta. Tämä tuntuu täysin henkimaailman jutulta!

Lue lisää

Ainakaan tuolla CA :lla ei pitäs olla juur mitään merkitystä mitä siellä on ja itseasiassa ei välttämättä tarvii ollenkaan.. Tuollahan varmistetaan clientin allekirjoituksen oikeellisuus. Eli, anna sen ca-bundlen olla siellä.

mutta voit koettaa ottaa yhteyttää palvelimeesi suoraan openssl clientilla, jonka kautta saat peremmin debug tietoa.


openssl s_client -connect host:port jne.

superadmin kirjoitti:

Ainakaan tuolla CA :lla ei pitäs olla juur mitään merkitystä mitä siellä on ja itseasiassa ei välttämättä tarvii ollenkaan.. Tuollahan varmistetaan clientin allekirjoituksen oikeellisuus. Eli, anna sen ca-bundlen olla siellä.

mutta voit koettaa ottaa yhteyttää palvelimeesi suoraan openssl clientilla, jonka kautta saat peremmin debug tietoa.


openssl s_client -connect host:port jne.

Lue lisää

Eli, omavarmenne on käytännössä "dummy"..

ja IE:ssä on ilmeisesti ongelamna se, että sun pitää ko. varmenne asentaa siihen (alla).

How can I create a dummy SSL server Certificate for testing purposes? [L]

A Certificate does not have to be signed by a public CA. You can use your private key to sign the Certificate which contains your public key. You can install this Certificate into your server, and people using Netscape Navigator (not MSIE) will be able to connect after clicking OK to a warning dialogue. You can get MSIE to work, and your customers can eliminate the dialogue, by installing that Certificate manually into their browsers.

Just use the ``make certificate'' command at the top-level directory of the Apache source tree right before installing Apache via ``make install''. This creates a self-signed SSL Certificate which expires after 30 days and isn't encrypted (which means you don't need to enter a pass-phrase at Apache startup time).

BUT REMEMBER: YOU REALLY HAVE TO CREATE A REAL CERTIFICATE FOR THE LONG RUN! HOW THIS IS DONE IS DESCRIBED IN THE NEXT ANSWER.

superadmin kirjoitti:

Eli, omavarmenne on käytännössä "dummy"..

ja IE:ssä on ilmeisesti ongelamna se, että sun pitää ko. varmenne asentaa siihen (alla).

How can I create a dummy SSL server Certificate for testing purposes? [L]

A Certificate does not have to be signed by a public CA. You can use your private key to sign the Certificate which contains your public key. You can install this Certificate into your server, and people using Netscape Navigator (not MSIE) will be able to connect after clicking OK to a warning dialogue. You can get MSIE to work, and your customers can eliminate the dialogue, by installing that Certificate manually into their browsers.

Just use the ``make certificate'' command at the top-level directory of the Apache source tree right before installing Apache via ``make install''. This creates a self-signed SSL Certificate which expires after 30 days and isn't encrypted (which means you don't need to enter a pass-phrase at Apache startup time).

BUT REMEMBER: YOU REALLY HAVE TO CREATE A REAL CERTIFICATE FOR THE LONG RUN! HOW THIS IS DONE IS DESCRIBED IN THE NEXT ANSWER.

Lue lisää

Varmenne tosiaan pitää asentaa sekä IE:hen että Firefoxiin, mutta se ei ole ylipääsemätön ongelma. Ongelmana on, että laatimallani varmenteella Firefox ei avaa sivua lainkaan, eli sen antamaa herjaa ei voi ohittaa. IE puolestaan ei anna sen kummempaa virheilmoitusta kuin "Sivua ei voi näyttää", eikä avaa sivua.

Tuo ohje saattaisi olla muuten käyttökelpoinen, mutta minulla ei ole Apachen lähdekoodeja koska olen asentanut sen valmiista binääreistä Ubuntun pakettirepositorystä :(

Harmenne kirjoitti:

Varmenne tosiaan pitää asentaa sekä IE:hen että Firefoxiin, mutta se ei ole ylipääsemätön ongelma. Ongelmana on, että laatimallani varmenteella Firefox ei avaa sivua lainkaan, eli sen antamaa herjaa ei voi ohittaa. IE puolestaan ei anna sen kummempaa virheilmoitusta kuin "Sivua ei voi näyttää", eikä avaa sivua.

Tuo ohje saattaisi olla muuten käyttökelpoinen, mutta minulla ei ole Apachen lähdekoodeja koska olen asentanut sen valmiista binääreistä Ubuntun pakettirepositorystä :(

Lue lisää

Et tarvii sorsia tuon dummyn tekemiseen.. vaan menee ihan reconfigure apache (pitäs mennä), jollei tuo tuota scriptia näy missään appache hakemistossa.

Mutta tuolla ei väliä, koska vastaa oikeesti oma varmennetta. Tuo dummy varmenne on "Snake Oil" firman varmenne (eli huuhaata).

Eli, koetat vaan väsätä tuota omavarmennetta, jollet saa tehtyä oletusvarmennetta (dummy).

jotakin sulla tietty pielessä siellä konfiksessa jos et saa oma-varmennetta pelaamaan. Jos /usr/sbin/apachectl startssl (ei futaa, niin konfigurointivika). Apache ssl logista selvinnee syy.