Instalacja ssl

[Dareksbs 0]

Witam wszystkich,

 

Właśnie kupiłem certyfikat ssl pod moją domenę i mam mały problem, na serwerze za pośrednictwem OpenSSL wygenerowalem certyfikat i klucz do certyfikatu, teraz na stronie dostawcy ssl muszę wrzucić jakiś CSR kod, skąd mam wziąć ten kod ?? Tez ma być wygenerowanych przez serwer ??czy może mi ktoś wytłumaczyć ja to działa ? Czy potem ten CSR muszę gdzieś wrzucić na serwer ??

 

Pozdrawiam

Edytowano Kwiecień 4, 2014 przez Dareksbs (zobacz historię edycji)

[Dareksbs 0]

Tu masz na przykładzie home.pl wszystko dosyć fajnie wyjaśnione.

Tu, masz na myśli na stronie Home.pl w dziele ssl ??

[Dareksbs 0]

Nie rozumiem trochę tego, przy zakupię certyfiktatu potrzebna jest tylko domena, następnie kod CSR, który możemy wygenerować nawet na jakiejś stronie, czyli mamy jedną stronę gdzie wpisujemy domenę i wrzucamy kod CSR, po drugiej stronie mamy serwer, do którego jest podpięta domena, oraz wygenerowane pliki przez serwer CRT i KEY. I teraz najważniejsze, jak to się wszystko łączy ? skoro nie ma żadnego połączenia między tymi dwoma stronami ?? skąd przeglądarka wie że akurat ten serwer posiada ten certyfikat ssl ?? przecież możemy wygenerować pliki CRT i KEY bez kupowania certyfikatu, czy przeglądarka sprawdza domenę gdzieś ??

[spindritf 240]

Przeglądarka ma klucz publiczny Certificate Authority (CA), które wystawiło certyfikat, a do tego teraz jeszcze sprawdza w czasie rzeczywistym status certyfikatu przy pomocy OCSP, co zresztą może zrobić Twój serwer www i wtedy strona się będzie trochę szybciej ładowała. Swój klucz i CSR powinieneś wygenerować absolutnie, tylko i wyłącznie na maszynie, którą całkowicie kontrolujesz, nie jakiejś przypadkowej stronie. CSR to prośba o podpisanie (certificate signing request) tego klucza.

 

Doczytaj,

 

https://pl.wikipedia.org/wiki/Kryptografia_klucza_publicznego

https://pl.wikipedia.org/wiki/Infrastruktura_klucza_publicznego

 

albo zapłać komuś, żeby to poprawnie skonfigurował.

Edytowano Kwiecień 4, 2014 przez spindritf (zobacz historię edycji)

[Dareksbs 0]

Jeszcze mam jedno pytanie, jaki może być powód różnicy pomiędzy plikiem CRT a KEY ?? Do wygenerowana ich użyłem komendy :

 

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt

I cały czas mam błedy :

 

[Fri Apr 04 21:08:42 2014] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)

[Fri Apr 04 21:08:42 2014] [error] Unable to configure RSA server private key

[Fri Apr 04 21:08:42 2014] [error] SSL Library Error: 185073780 error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch

Edytowano Kwiecień 4, 2014 przez Dareksbs (zobacz historię edycji)

[bybunny 540]

Wygeneruj sobie tu: https://www.gogetssl.com/online-csr-generator/

 

Kopię również dostaniesz na maila.

[Dareksbs 0]

Wygeneruj sobie tu: https://www.gogetssl.com/online-csr-generator/

 

Kopię również dostaniesz na maila.

Kod CSR wygenerowalem sobie na serwerze po przez OpenSSL, już go dodałem na stronie dostawcy ssl, teraz mam tylko problem z CRT i KEY, z tego co widzę w logach (które zamieściłeś wyżej) pliki się różnią... I nie wiem dlaczego, i jakoś nie mogę tego przeskoczyć.

[bybunny 540]

Przepraszam ale na szybko wkleiłem link bo faktycznie napisałeś że już certyfikat masz. Zobacz sobie jaką ścieżkę masz do plików w konfiguracji apache. Powinno to wyglądać mniej więcej tak:

 

# Server Certificate:
# Point SSLCertificateFile at a PEM encoded certificate. If
# the certificate is encrypted, then you will be prompted for a
# pass phrase. Note that a kill -HUP will prompt again. A new
# certificate can be generated using the genkey(1) command.
SSLCertificateFile /etc/pki/jakisssl.csr

# Server Private Key:
# If the key is not combined with the certificate, use this
# directive to point at the key file. Keep in mind that if
# you've both a RSA and a DSA private key you can configure
# both in parallel (to also allow the use of DSA ciphers, etc.)
SSLCertificateKeyFile /etc/pki/jakisssl.key

# Server Certificate Chain:
# Point SSLCertificateChainFile at a file containing the
# concatenation of PEM encoded CA certificates which form the
# certificate chain for the server certificate. Alternatively
# the referenced file can be the same as SSLCertificateFile
# when the CA certificates are directly appended to the server
# certificate for convinience.
# SSLCertificateChainFile /etc/pki/jakisssl.pem

# Certificate Authority (CA):
# Set the CA certificate verification path where to find CA
# certificates for client authentication or alternatively one
# huge file containing all of them (file must be PEM encoded)
SSLCACertificateFile /etc/pki/jakisssl.pem

 

Zwróć uwagę na wpisy bez znaku hash. Plik KEY jest razem generowany podczas tworzenia CSR w jednym procesie. Nie rozumiem czemu wygenerowałeś go na serwerze a nie przy pomocy strony. Nie jest to prawdą że trzeba generować wszystko na serwerze co już samo w sobie ma się nijak przez fakt że certyfikaty możesz użyć na wielu maszynach. Nie tylko na maszynie gdzie był np generowany certyfikat. Skoro kupiłeś certyfikat a podałeś błędne pliki będziesz miał problem i to spory! Dla świętego spokoju odkoduj sobie plik CSR:

 

https://www.gogetssl.com/online-csr-decoder/

 

Zobacz czy dane są dokładnie te które podałeś. I ponownie go utwórz za pomocą wcześniejszego linku który podałem i porównaj pliki - pierwszy i końcowy wiersz. Nie jestem pewien czy to zadziała bo szczerze powiedziawszy nigdy jeszcze mi się nie zdarzyło uwalić certyfikatu a już wygenerowałem ich setki. Nie mam za bardzo czasu ale jak potrzebujesz pomocy to po prostu napisz na team@sixwishlist.com, zajrzę do twojej maszyny i ustawię co trzeba ale dopiero jutro wieczorem jestem w miarę wolny. Dobranoc