FastNetMon

Показаны сообщения с ярлыком SSL Certificates. Показать все сообщения
Показаны сообщения с ярлыком SSL Certificates. Показать все сообщения

воскресенье, 26 декабря 2010 г.

GoDaddy SSL wildcard сертификаты криво работают в Chrome

Если быть точным, выдается ошибка:
Вы попытались открыть domain.ru, однако представленный сервером сертификат не является доверенным для операционной системы вашего ПК. Это может означать, что данный сервер сгенерировал собственные данные подтверждения безопасности, на которые Google Chrome не может полагаться, либо злоумышленник пытается перехватить данные коммуникации. Мы не советуем продолжать, особенно если вы не видели предупреждения для этого сайта ранее.

И в подробностях указано что "Сертификат подписан неизвестным" бюро.

Чтобы избавится от проблемы, нам нужен intermediate сертификат GoDaddy (что это,читаем тут). Заходим на страницу https://certs.godaddy.com/anonymous/repository.seam, там ищем файлик "gd_intermediate.crt", копируем ссылку на него.

Заходим на сервер:
cd /etc/apache2
wget тут_ссылка_на_сертификат

Далее открываем конфиг Апача:
vi /etc/apache2/apache2.conf

Ищем, где указан наш сертификат, это будут строки в стиле:
SSLCertificateFile /etc/apache2/ssl.crt/domain.crt
SSLCertificateKeyFile /etc/apache2/ssl.key/domain.key

И добавляем чуть ниже:
SSLCertificateChainFile /etc/apache2/gd_intermediate.crt

Применяем настройки:
invoke-rc.d apache2 restart


Все, теперь никаких ошибок от сертификата в Chrome не будет :)

Источник: http://www.cupcakewithsprinkles.com/godaddy-ssl-certificate-and-chrome/ и http://doejo.com/blog/godaddy-ssl-certificate-throws-errors-in-google-chrome

четверг, 29 октября 2009 г.

Генерация CSR

Что делать, если GoDaddy ругается: "Make sure the CSR you generate uses a 2048 or greater bit key lengthLearn more"

Но, прошу отметить тот факт, что Common Name для WildCard должно быть следующее: "*.domain.ru" (без кавычек, разумеется).

Генерируем приватный ключ:

openssl genrsa -des3 -out domain.key 2048


Генерируем CSR:

openssl req -new -key domain.key -out domain.csr

Можно прочесть информацию из уже сгенерированного CSR:
openssl req -text -noout -in host.csr



Источник: инструкцию

суббота, 14 февраля 2009 г.

Убрать запрос пароля от приватного сертификата в Apache

How can I get rid of the pass-phrase dialog at Apache startup time?

The reason this dialog pops up at startup and every re-start is that the RSA private key inside your server.key file is stored in encrypted format for security reasons. The pass-phrase is needed to decrypt this file, so it can be read and parsed. Removing the pass-phrase removes a layer of security from your server - proceed with caution!

1. Remove the encryption from the RSA private key (while keeping a backup copy of the original file):

$ cp server.key server.key.org
$ openssl rsa -in server.key.org -out server.key

2. Make sure the server.key file is only readable by root:

$ chmod 400 server.key

Now server.key contains an unencrypted copy of the key. If you point your server at this file, it will not prompt you for a pass-phrase. HOWEVER, if anyone gets this key they will be able to impersonate you on the net. PLEASE make sure that the permissions on this file are such that only root or the web server user can read it (preferably get your web server to start as root but run as another user, and have the key readable only by root).

As an alternative approach you can use the ``SSLPassPhraseDialog exec:/path/to/program'' facility. Bear in mind that this is neither more nor less secure, of course.

Ну а если вкратце, то с сертификата просто снимается пароль =)

Взято с: http://httpd.apache.org/docs/2.0/ssl/ssl_faq.html#removepassphrase