https и покупка сертификата
Подскажите пожалуйста по https и покупке сертификатов для него. Есть веб сервер с HTTPS который я настроил при помощи имеющихся в системе сертификатов: SSLCertificateFile/etc/ssl/certs/ssl-cert-snakeoil.pem SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key Все работает. Но браузер естественно ругается. Веб сервер работает как для пользователей локальной сети: webserver.example.com внтури ЛВС резолвиться во внутренний адрес: 192.168.1.1 Так и для Интернет пользователей: webserver.example.com из Интернет резолвиться во внешний публичный адрес шлюза. Я собираюсь купить сертификаты для этого сервера (скорее всего будем покупать у godaddy, руководство хочет). Поидее мне выдадут два сертификата. Из которых Публиный ключ моего сервера, т.е. замену (ssl-cert-snakeoil.pem) Приватный ключ моего сервера, т.е. замену (ssl-cert-snakeoil.key) Я прав ? И еще несколько вопросов: 1. Есть ли в системе Публичный ключ CA (который можно установить на клиентские машины, для доверия самоподписанным сертификатам snakeoil) или он в принципе не предусмотрен? sna 2. На какой адрес(домен) покупать сертификаты (webserver.example.com) ? 3. Не повлияет ли моя настройка DNS на работу с веб сервером по HTTPS (на всякий спрашиваю)? 4. Какой сертификат покупать ? 5. На сколько лет брать сертификат (от трех до пяти) ? 6. Лучше сразу определиться с тем, сколько сертификатов надо ? Чтобы выбрать оптимальное предложение. 7. Какие еще подводные камни есть? Я настраиваю https первый раз. Хочу посоветоваться. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/524923b3.3010...@skubriev.ru
Re: https и покупка сертификата
30.09.2013 11:09, Vladimir Skubriev пишет: И еще несколько вопросов: 1. Есть ли в системе Публичный ключ CA (который можно установить на клиентские машины, для доверия самоподписанным сертификатам snakeoil) или он в принципе не предусмотрен? sna Ты можешь сам себе такой сгенерить и разложить по клиентам, но те, у кого нет такого, очень расстроятся. Например всякие айфоны и андроиды замучаешься потом обучать этому CA. Проще купить. 2. На какой адрес(домен) покупать сертификаты (webserver.example.com) ? Удобнее всего купить на *.example.com 3. Не повлияет ли моя настройка DNS на работу с веб сервером по HTTPS (на всякий спрашиваю)? Нет. https проверяет имя, но не IP-адрес. 4. Какой сертификат покупать ? https://www.startssl.com/?app=40 Class2 Всё остальное - больше понты, чем реальная необходимость. 5. На сколько лет брать сертификат (от трех до пяти) ? На максимальный срок. Обычно так выходит дешевле. Если деньги есть, конечно. 6. Лучше сразу определиться с тем, сколько сертификатов надо ? Чтобы выбрать оптимальное предложение. Один. Да и startssl даёт их без ограничений. 7. Какие еще подводные камни есть? Я настраиваю https первый раз. Хочу посоветоваться. Если ты вдруг потерял сертификат и тебе надо его переиздать - готовься что за это попросят денег тоже. -- Best regards, Mikhail - WWW: http://www.antmix.ru/ XMPP: ant...@stopicq.ru signature.asc Description: OpenPGP digital signature
Re: https и покупка сертификата
Vladimir Skubriev vladi...@skubriev.ru writes: Подскажите пожалуйста по https и покупке сертификатов для него. Есть веб сервер с HTTPS который я настроил при помощи имеющихся в системе сертификатов: SSLCertificateFile/etc/ssl/certs/ssl-cert-snakeoil.pem SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key Я бы рекомендовал также уделить внимание опции SSLCACertificateFile. Я собираюсь купить сертификаты для этого сервера (скорее всего будем покупать у godaddy, руководство хочет). Поидее мне выдадут два сертификата. Из которых Публиный ключ моего сервера, т.е. замену (ssl-cert-snakeoil.pem) Приватный ключ моего сервера, т.е. замену (ssl-cert-snakeoil.key) Я прав ? Не совсем. Вы генерируйте на своей машине новый CSR (Certificate Signing Request). CSR - это неподписанный сертификат. Он содержит Ваш публичный ключ и некоторую дополнительную информацию. Также, где-то рядом должен будет сгенерироваться приватный ключ. Далее Вы отправляете сертификатору Ваш CSR, он его подписывает, и высылает Вам уже подписанный сертификат. Таким образом, приватный ключ вам ни в коем случае *не выдают*. Держите его в секрете даже от сертификатора. И еще несколько вопросов: 1. Есть ли в системе Публичный ключ CA (который можно установить на клиентские машины, для доверия самоподписанным сертификатам snakeoil) или он в принципе не предусмотрен? sna Я просто создал свой root CA certificate, и раскидал его по всем своим машинам в директорию /etc/ssl/certs. После этого все сертификаты, подписанные данным, будут этими машинами считаться проверенными. Я очень рекомендую использовать для данной операции CA.pl, который идет в contrib вместе с пакетом openssl. Хотя нет, если уж быть совсем честным, то я рекомендую использовать CA.pl для *большинства операций* по работе с сертификатами. 3. Не повлияет ли моя настройка DNS на работу с веб сервером по HTTPS (на всякий спрашиваю)? Не должна. Резолвинг имен вроде никак с HTTPS не пересекается. 2. На какой адрес(домен) покупать сертификаты (webserver.example.com) ? Мануалы некомендуют устанавливать в качестве CNAME точное имя домена, к которому будет подключение. То есть если Вы используете адрес https://example.com/, а сам сервер с этим доменом находится, скажем, на server00.example.com, но сертификат нужно брать именно на exmaple.com. На остальные вопросы, связанные с покупкой, пусть лучше кто-нибудь другой ответит. Я в свое время помахал сертификаторам ручкой, так что об особенностях покупке сертификатов ничего не знаю. 4. Какой сертификат покупать ? 5. На сколько лет брать сертификат (от трех до пяти) ? 6. Лучше сразу определиться с тем, сколько сертификатов надо ? Чтобы выбрать оптимальное предложение. 7. Какие еще подводные камни есть? Я настраиваю https первый раз. Хочу посоветоваться. pgpUNtd2sGhkz.pgp Description: PGP signature
Re: https и покупка сертификата
Dmitrii Kashin free...@freehck.ru writes: Vladimir Skubriev vladi...@skubriev.ru writes: 1. Есть ли в системе Публичный ключ CA (который можно установить на клиентские машины, для доверия самоподписанным сертификатам snakeoil) или он в принципе не предусмотрен? sna ... На всякий случай: если вопрос в том, есть ли *уже* рутовый сертификат сертификатора в системах пользователей, то ответ однозначно - да. На то он и сертификатор. pgpkP97YBUpOw.pgp Description: PGP signature
Re: https и покупка сертификата
12:14 Mon 30 Sep, Dmitrii Kashin wrote: Я очень рекомендую использовать для данной операции CA.pl, который идет в contrib вместе с пакетом openssl. Хотя нет, если уж быть совсем честным, то я рекомендую использовать CA.pl для *большинства операций* по работе с сертификатами. Ещё будет удобно использовать TinyCA. Там есть всё необходимое для поддержки своего локального CA. -- WBR, Andrey Tataranovich -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130930090547.ga31...@tataranovich-pc.local.aitoc.com