stary problem : ręczne podpisywanie certyfikatów

Dominik Konczewski Senior Systems
Administrator

Temat: stary problem : ręczne podpisywanie certyfikatów

witam,
mam następujący problem (stary jak świat właściwie)

ręcznie tworzę co jakiś czas certyfikaty,
otóż tworzę ca-cert (przez CA -newca)
potem req, oraz go podpisuję przez sign

pracowników u mnie w firmie denerwuje, że na początku firefox wywala komunikat i trzeba kliknąć, że się rozumie zagrożenie :)
wiadomo jak na to ludzie reagują,
a ponadto w niektórych firefoxach jak się wygenaruje nowy certyfikat, przeglądarka ma w pamięci stary i nie pozwala nowego wprowadzić.
wpadłem na pomysł, że nie jak dotychczas mam cert i key jako pliki pem
mógłbym może generować certyfikat .crt i po prostu wysłać pracownikom grupowy mail co by sobie zainstalowali nowy certyfikat i przeglądarka nie będzie się burzyc, a przynajmniej nie powinna

co koledzy o tym myślą ?
PS. chyba zainwestuje w cert ssl z certum albo z kądś indziej i problem z głowy

Link do wypowiedzi

konto usunięte

Temat: stary problem : ręczne podpisywanie certyfikatów

Dominik Konczewski:
co koledzy o tym myślą ?
PS. chyba zainwestuje w cert ssl z certum albo z kądś indziej i problem z głowy

Nie jestem wiarygodny bo tam pracuję, ale dla swojej wygody zrobiłem tak już dawno ...Marcin Bojko edytował(a) ten post dnia 16.04.11 o godzinie 22:51

Link do wypowiedzi

Stanisław P. Software designer

Temat: stary problem : ręczne podpisywanie certyfikatów

Możesz też własne mini CA postawić jeśli naprawdę chcesz się bawić w wewnętrzne certyfikaty. Wystarczy że wszyscy zaimportują Twoje firmowe CA, a potem już tylko nim podpisuj nowe certy - jeśli wszystko poprawnie skonfigurujesz, to będą przyjmowane automatycznie.

Link do wypowiedzi

Dominik Konczewski Senior Systems
Administrator

Temat: stary problem : ręczne podpisywanie certyfikatów

a mogę od panów prosić jakieś przykłady generowania certyfikatów?
napiszę jak ja to robię
mam w katalogu /etc/pki/tls/misc
CA -newca
-> mam certyfikat CA
potem openssl req -new -nodes -keyout key.pem -out newreq.pem
-> mam klucz.key

później tylko podpisuję sobie certyfikat
czyli CA -sign

problem tylko w tym, że mam certyfikaty w formacie pem,
nie wiem jak zrobić z nich jeden certyfikat crt

Link do wypowiedzi

Dominik Konczewski Senior Systems
Administrator

Temat: stary problem : ręczne podpisywanie certyfikatów

Stanisław P.:
Możesz też własne mini CA postawić jeśli naprawdę chcesz się bawić w wewnętrzne certyfikaty. Wystarczy że wszyscy zaimportują Twoje firmowe CA, a potem już tylko nim podpisuj nowe certy - jeśli wszystko poprawnie skonfigurujesz, to będą przyjmowane automatycznie.

ciekawa koncepcja. a możesz rozwinąć ? jestem bardzo zainteresowany

Link do wypowiedzi

Stanisław P. Software designer

Temat: stary problem : ręczne podpisywanie certyfikatów

Teraz masz już jakieś CA, bo podpisujesz nim certyfikaty. Powinieneś mieć CA.pem i CA.crt. (wygenerowane przy pierwszym "CA -newca") Jeśli ten CA.crt zaimportujesz do przeglądarek, to wszystkie certyfikaty przez niego podpisane powinny być automatycznie akceptowane.

Link do wypowiedzi

Dominik Konczewski Senior Systems
Administrator

Temat: stary problem : ręczne podpisywanie certyfikatów

cacert.pem mam ale nie wiem jak zrobić z niego cacert.crt,
bo przeglądarka nie rozumie plików tekstowych pem, chodzi mi o crt,
to by załatwiło sprawę

Link do wypowiedzi

Wojciech Kubiak Cloud Unit Leader,
Cybercom Poland Sp.
z o.o.

Temat: stary problem : ręczne podpisywanie certyfikatów

Tworzysz cert
#openssl genrsa -des3 -out server.pass.key 2048

Usuwasz haslo
#openssl rsa -in server.pass.key -out server.key

Tworzysz żądanie pospiu
#openssl req -new -key server.key -out server.csr
Wypelniasz pola (ważne aby w "Common Name" wpisac poprawny adres strony)

Podpisujesz cert
#openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

Aby zrobić plik "pem" sklejasz:
#cat server.key server.crt > apache.pem

Link do wypowiedzi

Rafał Korszuń co-owner @ Kleder

Temat: stary problem : ręczne podpisywanie certyfikatów

dodatkowo możesz dostroić narzędzia typu http://phpki.sourceforge.net/ i masz mały pki serwer

Link do wypowiedzi

Przemek M. Software Engineer,
TomTom

Temat: stary problem : ręczne podpisywanie certyfikatów

Chłopaki, ten temat umarł dwa lata temu...
Do tego jeszcze Dominik chyba zdążył zmienić pracę ;)

Link do wypowiedzi

LINUX i OPEN SOURCE

Czy na pewno chcesz zrezygnować z tej grupy?

Zgłoś nieprawidłowości w wypowiedzi

stary problem : ręczne podpisywanie...

Blokowanie użytkownika

Temat: stary problem : ręczne podpisywanie certyfikatów

Temat: stary problem : ręczne podpisywanie certyfikatów

Temat: stary problem : ręczne podpisywanie certyfikatów

Temat: stary problem : ręczne podpisywanie certyfikatów

Temat: stary problem : ręczne podpisywanie certyfikatów

Temat: stary problem : ręczne podpisywanie certyfikatów

Temat: stary problem : ręczne podpisywanie certyfikatów

Temat: stary problem : ręczne podpisywanie certyfikatów

Temat: stary problem : ręczne podpisywanie certyfikatów

Temat: stary problem : ręczne podpisywanie certyfikatów

Podobne tematy

LINUX i OPEN SOURCE » Mam problem..znowu.. ;) -

LINUX i OPEN SOURCE » Apache i problem z PHP -

LINUX i OPEN SOURCE » Problem z logowaniem się do Samby + LDAP -

LINUX i OPEN SOURCE » problem z komendą find + expand -

LINUX i OPEN SOURCE » Samba - problem z dodaniem komputera do domeny -

LINUX i OPEN SOURCE » PROBLEM Z APACHE2 NA DEBIANIE 6.0 -

LINUX i OPEN SOURCE » problem z użytkownikiem i grupą -

LINUX i OPEN SOURCE » Apache SSL - certyfikat CA - problem -

LINUX i OPEN SOURCE » Problem z przesłaniem przez rsync plików większych niż 10 GB -

LINUX i OPEN SOURCE » Problem z repo Git na debianie lenny -

Mam problem..znowu.. ;)

Zrobiłem jakiś czas temu LEDa na...

Clonezilla backup dysku czy partycji?

Oferty pracy