Re: https и покупка сертификата

2013-09-30 Пенетрантность Mikhail A Antonov 
30.09.2013 11:09, Vladimir Skubriev пишет:
 И еще несколько вопросов:

 1. Есть ли в системе Публичный ключ CA (который можно установить на
 клиентские машины, для доверия самоподписанным сертификатам snakeoil)
 или он в принципе не предусмотрен? sna
Ты можешь сам себе такой сгенерить и разложить по клиентам, но те, у
кого нет такого, очень расстроятся. Например всякие айфоны и андроиды
замучаешься потом обучать этому CA. Проще купить.

 2. На какой адрес(домен) покупать сертификаты (webserver.example.com) ?
Удобнее всего купить на *.example.com

 3. Не повлияет ли моя настройка DNS на работу с веб сервером по HTTPS
 (на всякий спрашиваю)?
Нет. https проверяет имя, но не IP-адрес.

 4. Какой сертификат покупать ?
https://www.startssl.com/?app=40 Class2
Всё остальное - больше понты, чем реальная необходимость.

 5. На сколько лет брать сертификат (от трех до пяти) ?
На максимальный срок. Обычно так выходит дешевле. Если деньги есть, конечно.

 6. Лучше сразу определиться с тем, сколько сертификатов надо ? Чтобы
 выбрать оптимальное предложение.
Один. Да и startssl даёт их без ограничений.

 7. Какие еще подводные камни есть? Я настраиваю https первый раз. Хочу
 посоветоваться.
Если ты вдруг потерял сертификат и тебе надо его переиздать - готовься
что за это попросят денег тоже.

-- 
Best regards,
Mikhail
-
WWW: http://www.antmix.ru/
XMPP: ant...@stopicq.ru



signature.asc
Description: OpenPGP digital signature

Re: https и покупка сертификата

2013-09-30 Пенетрантность Dmitrii Kashin 
Vladimir Skubriev vladi...@skubriev.ru writes:

 Подскажите пожалуйста по https и покупке сертификатов для него.

 Есть веб сервер с HTTPS который я настроил при помощи имеющихся в
 системе сертификатов:

   SSLCertificateFile/etc/ssl/certs/ssl-cert-snakeoil.pem
   SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key

Я бы рекомендовал также уделить внимание опции SSLCACertificateFile.

 Я собираюсь купить сертификаты для этого сервера (скорее всего будем
 покупать у godaddy, руководство хочет).

 Поидее мне выдадут два сертификата. Из которых

 Публиный ключ моего сервера, т.е. замену (ssl-cert-snakeoil.pem)
 Приватный ключ моего сервера, т.е. замену (ssl-cert-snakeoil.key)

 Я прав ?

Не совсем.

Вы генерируйте на своей машине новый CSR (Certificate Signing
Request). CSR - это неподписанный сертификат. Он содержит Ваш публичный
ключ и некоторую дополнительную информацию. Также, где-то рядом должен
будет сгенерироваться приватный ключ.

Далее Вы отправляете сертификатору Ваш CSR, он его подписывает, и
высылает Вам уже подписанный сертификат.

Таким образом, приватный ключ вам ни в коем случае *не выдают*. Держите
его в секрете даже от сертификатора.

 И еще несколько вопросов:

 1. Есть ли в системе Публичный ключ CA (который можно установить на
 клиентские машины, для доверия самоподписанным сертификатам snakeoil)
 или он в принципе не предусмотрен? sna

Я просто создал свой root CA certificate, и раскидал его по всем своим
машинам в директорию /etc/ssl/certs. После этого все сертификаты,
подписанные данным, будут этими машинами считаться проверенными.

Я очень рекомендую использовать для данной операции CA.pl, который идет
в contrib вместе с пакетом openssl. Хотя нет, если уж быть совсем
честным, то я рекомендую использовать CA.pl для *большинства операций*
по работе с сертификатами.

 3. Не повлияет ли моя настройка DNS на работу с веб сервером по HTTPS
 (на всякий спрашиваю)?

Не должна. Резолвинг имен вроде никак с HTTPS не пересекается.

 2. На какой адрес(домен) покупать сертификаты (webserver.example.com) ?

Мануалы некомендуют устанавливать в качестве CNAME точное имя домена, к
которому будет подключение. То есть если Вы используете адрес
https://example.com/, а сам сервер с этим доменом находится, скажем, на
server00.example.com, но сертификат нужно брать именно на exmaple.com.

На остальные вопросы, связанные с покупкой, пусть лучше кто-нибудь
другой ответит. Я в свое время помахал сертификаторам ручкой, так что об
особенностях покупке сертификатов ничего не знаю.

 4. Какой сертификат покупать ?

 5. На сколько лет брать сертификат (от трех до пяти) ?

 6. Лучше сразу определиться с тем, сколько сертификатов надо ? Чтобы
 выбрать оптимальное предложение.

 7. Какие еще подводные камни есть? Я настраиваю https первый раз. Хочу
 посоветоваться.


pgpUNtd2sGhkz.pgp
Description: PGP signature

Re: https и покупка сертификата

2013-09-30 Пенетрантность Dmitrii Kashin 
Dmitrii Kashin free...@freehck.ru writes:

 Vladimir Skubriev vladi...@skubriev.ru writes:

 1. Есть ли в системе Публичный ключ CA (который можно установить на
 клиентские машины, для доверия самоподписанным сертификатам snakeoil)
 или он в принципе не предусмотрен? sna

 ...


На всякий случай: если вопрос в том, есть ли *уже* рутовый сертификат
сертификатора в системах пользователей, то ответ однозначно - да. На то
он и сертификатор.



pgpkP97YBUpOw.pgp
Description: PGP signature

Re: https и покупка сертификата

2013-09-30 Пенетрантность Andrey Tataranovich 
12:14 Mon 30 Sep, Dmitrii Kashin wrote:
 Я очень рекомендую использовать для данной операции CA.pl, который идет
 в contrib вместе с пакетом openssl. Хотя нет, если уж быть совсем
 честным, то я рекомендую использовать CA.pl для *большинства операций*
 по работе с сертификатами.


Ещё будет удобно использовать TinyCA. Там есть всё необходимое для поддержки
своего локального CA.

-- 
WBR, Andrey Tataranovich


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/20130930090547.ga31...@tataranovich-pc.local.aitoc.com