Да я из беларуси и локально у меня все работает.
Спасибо, реально затык на серверах Роскомнадзора.
_
Sergey Akudovich
Belarus, Minsk
Email: akudov...@gmail.com
Skype: akudovich
Phone: +375 (29) 757-48-18
> 15 сент. 2017 г., в 8:37, Artem Chuprina
Eugene Berdnikov -> debian-russian@lists.debian.org @ Fri, 15 Sep 2017
13:16:17 +0300:
>> > Но что именно в данном случае - понятия не имею. Тут к тредстартеру
>> > вопрос, скорее, что у него там творится (если я правильно понял, он из
>> > Белорусии, возможно, просто списки блокирования не
On Fri, Sep 15, 2017 at 01:00:40PM +0300, Hleb Valoshka wrote:
> On 9/15/17, Stanislav Vlasov wrote:
>
> > Но что именно в данном случае - понятия не имею. Тут к тредстартеру
> > вопрос, скорее, что у него там творится (если я правильно понял, он из
> > Белорусии,
On 9/15/17, Stanislav Vlasov wrote:
> Но что именно в данном случае - понятия не имею. Тут к тредстартеру
> вопрос, скорее, что у него там творится (если я правильно понял, он из
> Белорусии, возможно, просто списки блокирования не совпадают с
> российскими).
Иногда
15 сентября 2017 г., 12:38 пользователь Artem Chuprina
написал:
> >> Вы хотите сказать, что на "реалке" у Вас обход блокировок Роскомнадзора
> >> настроен, но Вы об этом не в курсе?
>
> > Некоторые домашние провайдеры не умеют блокировать именно https,
> > некоторые
Stanislav Vlasov -> debian-russian @ Fri, 15 Sep 2017 11:02:58 +0500:
>> > Часть серверов не доступны с виртуалки по https:
> [...]
>> > ошибка: Невозможно назначить запрошенный адрес.
>> > Повтор.
>>
>> Вы хотите сказать, что на "реалке" у Вас обход блокировок Роскомнадзора
>>
В Fri, 15 Sep 2017 08:37:36 +0300
Artem Chuprina пишет:
> Sergey Akudovich -> debian-russian @ Fri, 15 Sep 2017 02:17:08 +0300:
>
> > Добрый,
>
> > Часть серверов не доступны с виртуалки по https:
>
>
> Вы хотите сказать, что на "реалке" у Вас обход блокировок
>
15 сентября 2017 г., 10:37 пользователь Artem Chuprina
написал:
> > Часть серверов не доступны с виртуалки по https:
[...]
> > ошибка: Невозможно назначить запрошенный адрес.
> > Повтор.
>
> Вы хотите сказать, что на "реалке" у Вас обход блокировок Роскомнадзора
> настроен,
Sergey Akudovich -> debian-russian @ Fri, 15 Sep 2017 02:17:08 +0300:
> Добрый,
> Часть серверов не доступны с виртуалки по https:
> wget https://google.com
> Отрабатывает как ожидалось, а
> wget https://linkedin.com
> --2017-09-15 01:54:57-- https://linkedin.com/
> Распознаётся
Добрый день. Похоже на блокировку роскомнадзора. Где-то на хабре описывали как
обходить.
От: Sergey Akudovich
Отправлено: 15 сентября 2017 г. в 2:17
Кому: debian-russian
Тема: иногда SSL В соединении отказано.
Добрый,
Часть серверов не доступны с виртуалки по https:
wget https://google.com
Добрый,
Часть серверов не доступны с виртуалки по https:
wget https://google.com
Отрабатывает как ожидалось, а
wget https://linkedin.com
--2017-09-15 01:54:57-- https://linkedin.com/
Распознаётся linkedin.com (linkedin.com)… 108.174.10.10,
2620:109:c002::6cae:a0a
Подключение к linkedin.com
там как раз старый сертификат был, ещё с SHA1.
> Прикрутил Let's encrypt — всё заработало.
>
> Anton Gorlov <stal...@locum.ru> писал(а) в своём письме Wed, 08 Feb
> 2017 01:00:07 +0300:
>
>> All -а кто-нибудь знает что такого страшного в 9 дебиане сделали с ssl?
>>
>&
л(а) в своём письме Wed, 08 Feb 2017
01:00:07 +0300:
All -а кто-нибудь знает что такого страшного в 9 дебиане сделали с ssl?
Пытаюсь тестовый сервер с debian stretch подключить к паппету, котрый
пока ещё живёт на wheezy
И весело получаю ошибку
puppet agent --test --verbose --no-daemonize
Error:
All -а кто-нибудь знает что такого страшного в 9 дебиане сделали с ssl?
Пытаюсь тестовый сервер с debian stretch подключить к паппету, котрый
пока ещё живёт на wheezy
И весело получаю ошибку
puppet agent --test --verbose --no-daemonize
Error: Could not request certificate: SSL_connect
On 2016-01-03, sergio wrote:
> On 02/01/16 14:30, Oleksandr Gavenko wrote:
>
>> Что бы Вы порекомендовали?
>
> Посмотреть на DANE/TLSA + DNSSEC.
Мой DNS регистратор https://www.mindsandmachines.com/ не предоставляет услуги
DNSSEC:
$ whois defun.work
...
DNSSEC: unsigned
По крайней мере
On Sat, Jan 02, 2016 at 01:30:25PM +0200, Oleksandr Gavenko wrote:
> * апстрим какой то заносчивый
> * для подстверждения собственности домена - требуют на сервере временно
>запустить слушателя на порту 80 или 443 - прерывая свои сервисы,
>подтверждение - не плохо, но че бы не на другом
On Sat, Jan 02, 2016 at 02:49:24PM +0200, Oleksandr Gavenko wrote:
> On 2016-01-02, Иван Лох wrote:
>
> >> * для подстверждения собственности домена - требуют на сервере временно
> >>запустить слушателя на порту 80 или 443 - прерывая свои сервисы,
> >>подтверждение - не плохо, но че бы
On 2016-01-02, Иван Лох wrote:
>> * для подстверждения собственности домена - требуют на сервере временно
>>запустить слушателя на порту 80 или 443 - прерывая свои сервисы,
>>подтверждение - не плохо, но че бы не на другом порту?
>
> Потому, что этот другой порт с вероятностью закрыт
Хочу SSL/TLS сертификат на домашнюю страничку.
Что бы пароли не светились по интернету.
И что бы имплементации SSL/TLS не ругались о недоверенном сертификате. При чем
что бы несведущие пользователи могли работать из существующих распространенных
браузеров.
Мне в общем кажется что торговря
On Sat, 02 Jan 2016 13:30:25 +0200
Oleksandr Gavenko <gaven...@gmail.com> wrote:
> Хочу SSL/TLS сертификат на домашнюю страничку.
шой
> зеленой областью в строке URL.
>
> Что не понравилось:
>
> * сделано криво, лишь бы живо
> * апстрим какой то заносчи
есть еще такой вариант
http://habrahabr.ru/post/270273/
2 января 2016 г., 13:30 пользователь Oleksandr Gavenko <gaven...@gmail.com>
написал:
> Хочу SSL/TLS сертификат на домашнюю страничку.
>
> Что бы пароли не светились по интернету.
>
> И что бы имплементации
On 02/01/16 14:30, Oleksandr Gavenko wrote:
> Что бы Вы порекомендовали?
Посмотреть на DANE/TLSA + DNSSEC.
На debian.org работает.
--
sergio
6 -extensions v3_req
-subj
"/C=UA/ST=User/L=City/O=Corp/OU=SubCorp/CN=myvps.com/emailAddress=i...@myvps.com"
\
-reqexts SAN -config <( cat /etc/ssl/openssl.cnf; echo "[SAN]"; echo
"subjectAltName = email:copy,DNS:*.myvps.com,DNS:myvps.com" ) \
-keyout h
On 2015-11-25, Oleksandr Gavenko wrote:
> Пробовал задавать патерны DNS: через переменную окружения, добавив настройку в
> блок "[usr_cert]":
>
> subjectAltName=${ENV::sanvar}
>
> Но по:
>
> $ env sanvar='DNS=myvps.com' openssl ca -days 1000 -config openssl.cnf
> -cert ca-root-cert.pem
6:AA
X509v3 Basic Constraints:
CA:TRUE
> а для сертификата сервера
>
> X509v3 Basic Constraints:
> CA:FALSE
> Netscape Cert Type:
> SSL Server
> X509v3 Extended Key Usage:
>
Max Kosmach -> debian-russian@lists.debian.org @ Wed, 25 Nov 2015 10:01:43
+0300:
>>> Сделать честно не то чтобы офигительно сложно, но я не знаю простых
>>> энд-юзерских инструментов для этого. Сам тупо пользуюсь openssl, но я
>>> этой криптографией занимался профессионально, и понимаю,
у сервера (как я
думал выше что получится) мы доверяем всем сетрификатам подписаными доверенным
CA.
В общем ниже сырой материал, подготовленый для блогозаписи.
Может есть проще (я встречал упоминание о ca.pl скрипте) но так сработало.
openssl.cnf подбирал копированием /usr/lib/ssl/openssl.cnf
On 2015-11-24, Victor Wagner wrote:
>> Если разобраться с сертификатами, то мне ftps кажется тоже хорошим
>> решением, особенно учитывая что через ftp-сервер можно задавать права
>> доступа, ложить файлы с нужными владельцами и правами и использовать
>> свою базу авторизации (ftpasswd).
>
>
CRL Sign
а для сертификата сервера
X509v3 Basic Constraints:
CA:FALSE
Netscape Cert Type:
SSL Server
X509v3 Extended Key Usage:
TLS Web Server Authentication
OG> В общем ниже сырой материал, подготовлен
24.11.2015 09:01, Artem Chuprina пишет:
> Сделать честно не то чтобы офигительно сложно, но я не знаю простых
> энд-юзерских инструментов для этого. Сам тупо пользуюсь openssl, но я
> этой криптографией занимался профессионально, и понимаю, что делать с
> его ключами и конфигом. А так-то openssl
25.11.2015 9:53, Mikhail A Antonov пишет:
24.11.2015 09:01, Artem Chuprina пишет:
Сделать честно не то чтобы офигительно сложно, но я не знаю простых
энд-юзерских инструментов для этого. Сам тупо пользуюсь openssl, но я
этой криптографией занимался профессионально, и понимаю, что делать с
его
Oleksandr Gavenko wrote:
> Выяснил что plain ftp передает пароль в открытом виде в момент авторизации.
Он так лет 30+ последних делает.
> Есть https://ru.wikipedia.org/wiki/FTPS в разных версиях / режимах работы.
> Не могу вьехать что делать что бы proftpd + inetd работал
On Tue, 24 Nov 2015 02:30:58 +0200
Oleksandr Gavenko wrote:
> Выяснил что plain ftp передает пароль в открытом виде в момент
> авторизации.
>
> Есть https://ru.wikipedia.org/wiki/FTPS в разных версиях / режимах
> работы.
>
> Не могу вьехать что делать что бы proftpd + inetd
On 2015-11-24, Tim Sattarov wrote:
> а SFTP или Rsync over SSH не нравится ?
Нет опыта работы, сейчас поискал как ограничивать доступ, вот что есть:
Для SFTP решение в виде:
$ sudo groupadd sftp
$ sudo usermod username -g sftp
$ sudo usermod username -s /bin/false
$ sudo usermod
On 2015-11-24, Tim Sattarov wrote:
> тут бы я посмотрел на ftp:ssl-* значения
> curl попробовать с -k
>
> и смотреть как работает SSL соединение с помощью openssl
>
> openssl s_client -connect vps:990
Спасибо за подсказку, отладил эту проблему:
bash# openssl s_clien
not received by the FTPS server, the server
should drop the connection.
из:
https://en.wikipedia.org/wiki/FTPS
и:
A. Deprecated SSL negotiation mechanisms
There are two other mechanisms that have been used for FTP over SSL,
these mechanisms do not conform to [RFC-2228] and so are now
de
роде
> нужно тунелировать через ssh.
Вот у rsync протокол аутентификации достаточно безопасный. Так что если
контент светить не жалко, можно использовать и без ssh.
> * webdav - требует постоянно работающего apache, нужно настраивать
> SSL.
webdav - не знаю удобных клиентов. cadaver
On 23/11/15 07:30 PM, Oleksandr Gavenko wrote:
bash# lftp ftp://user@vps
Password:
lftp user@vps:~> ls
ls: Fatal error: Certificate verification: Not trusted
lftp user@vps:~> exit
тут бы я посмотрел на ftp:ssl-* значения
curl попробовать с -k
и смотреть как работа
On 23/11/15 07:30 PM, Oleksandr Gavenko wrote:
Выяснил что plain ftp передает пароль в открытом виде в момент авторизации.
Есть https://ru.wikipedia.org/wiki/FTPS в разных версиях / режимах работы.
Не могу вьехать что делать что бы proftpd + inetd работал безопасно.
а SFTP или Rsync over
On 23/11/15 07:30 PM, Oleksandr Gavenko wrote:
bash# lftp ftp://user@vps
Password:
lftp user@vps:~> ls
ls: Fatal error: Certificate verification: Not trusted
lftp user@vps:~> exit
тут бы я посмотрел на ftp:ssl-* значения
curl попробовать с -k
и смотреть как работа
/var/log/proftpd/tls.log
OG> TLSProtocol SSLv23
По нынешним временам SSL v2 и v3 считается за "шифрование отсутствует".
В смысле, дыры и их эксплойты в этих версиях протокола известны.
OG> TLSRSACertificateFile
/proftpd.conf::
Include /etc/proftpd/tls.conf
/etc/proftpd/tls.conf::
TLSEngine on
TLSLog /var/log/proftpd/tls.log
TLSProtocol SSLv23
TLSRSACertificateFile /etc/ssl/certs/proftpd.crt
Доброго времени.
Прошу прощения за не совсем профильный вопрос.
Почтовик claws mail 3.8.1 раздражает по десять раз на дню
(автоматическое снятие писем раз в минут 15-20) просьбами принять (вроде
бы валидный, но я в этом ноль) сертификат гмэйла. Вниманительный взгляд
показал, что по очереди
Timothy Silent - debian-russian@lists.debian.org @ Thu, 2 Oct 2014 15:55:47
+0300:
TS Доброго времени.
TS Прошу прощения за не совсем профильный вопрос.
TS Почтовик claws mail 3.8.1 раздражает по десять раз на дню
TS (автоматическое снятие писем раз в минут 15-20) просьбами принять (вроде
В Thu, 2 Oct 2014 15:55:47 +0300
Timothy Silent tara...@mail.ru пишет:
Доброго времени.
Прошу прощения за не совсем профильный вопрос.
Почтовик claws mail 3.8.1 раздражает по десять раз на дню
(автоматическое снятие писем раз в минут 15-20) просьбами принять
(вроде бы валидный, но я в этом
On Thu, 2 Oct 2014 18:24:57 +0400
Pavel Vorob`jev wrote:
http://www.thewildbeast.co.uk/claws-mail/bugzilla/show_bug.cgi?id=2199
Благодарю, это именно про то. Странно, что багфикс на 2199 в
последний релиз не вошел.
https://support.google.com/mail/answer/82350?hl=en
Тарас aka
Куда должна указывать директива
SSLCACertificateFile
если я планирую использовать(приобрести) сертификаты например у
провайдера godaddy
на системный файл, в котором собрано все дистрибутивом
(/etc/ssl/certs/ca-certificates.crt)?
на файл CA моего провайдера сертификатов ?
что то еще
14.10.2013, 15:26, Vladimir Skubriev vladi...@skubriev.ru:
Куда должна указывать директива
SSLCACertificateFile
если я планирую использовать(приобрести) сертификаты например у
провайдера godaddy
на системный файл, в котором собрано все дистрибутивом
(/etc/ssl/certs/ca-certificates.crt
собрано все дистрибутивом
(/etc/ssl/certs/ca-certificates.crt)?
на файл CA моего провайдера сертификатов ?
судя по:
http://stackoverflow.com/questions/14449071/installing-an-ssl-certificate-with-godaddy
надо указать файл gd_bundle.crt, который следует брать отсюда:
https://certs.godaddy.com/anonymous
On 06/09/2012 09:54 PM, Stefan Fritsch wrote:
Hi,
You are noted as the last translator of the debconf translation for
ssl-cert. The English template has been changed, and now some messages
are marked fuzzy in your translation or are missing.
I would be grateful if you could take the time
многие переводчики пишут в рассылку
письма
с темой наподобие
[BTS#677009] po-debconf://ssl-cert/ru.po
для учёта на странице
http://www.debian.org/international/l10n/po-debconf/ru.ru.html
Ну и желательно оправлять перевод именно как сообщения об ошибке, а не напрямую
сопровождающему пакета (хотя он
Hello.
--
Best Regards,
Yuri Kozlov
--
To UNSUBSCRIBE, email to debian-l10n-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20120611090205.7e6fe...@keeper.home.local
Hi,
You are noted as the last translator of the debconf translation for
ssl-cert. The English template has been changed, and now some messages
are marked fuzzy in your translation or are missing.
I would be grateful if you could take the time and update it.
Please send the updated file to me
Да. Но в общем-то защищенное соединение это вообще абсолютно
нетехническая штука. Вопрос не в технике, техника нынче вещь
тривилаьная,
Не скажи. В SSL 2, если я правильно ошибаюсь, находили очень толстую
дыру. С SSL 3 и TLS 1.0 лучше, но даже в последнем дыру находили. Чисто
On 2012.01.31 at 13:22:21 +0400, Artem Chuprina wrote:
Да. Но в общем-то защищенное соединение это вообще абсолютно
нетехническая штука. Вопрос не в технике, техника нынче вещь
тривилаьная,
Не скажи. В SSL 2, если я правильно ошибаюсь, находили очень толстую дыру. С
SSL 3 и TLS 1.0
On 2012.01.31 at 11:09:31 +0400, sergio wrote:
On 01/31/2012 10:32 AM, Victor Wagner wrote:
Вот тут все написано:
http://en.wikipedia.org/wiki/Extended_Validation_Certificate
Спасибо.
Я правильно понял, что технически разницы никакой нет, и она заключается
лишь в порядке выдачи
Да. Но в общем-то защищенное соединение это вообще абсолютно
нетехническая штука. Вопрос не в технике, техника нынче вещь
тривилаьная,
Не скажи. В SSL 2, если я правильно ошибаюсь, находили очень толстую дыру. С
SSL 3 и TLS 1.0 лучше, но даже в последнем дыру находили. Чисто техническую
Всем привет.
Очень хочется узнать, почему для некоторых сайтов плашка слева от
адреса, которая подтверждает наличие ssl шифрования --- зелёная (как
например для https://www.mozilla.org/), а для некоторых (как например
для https://www.cacert.org/) --- синяя?
--
sergio.
--
To UNSUBSCRIBE
31 января 2012 г. 13:23 пользователь sergio написал:
Очень хочется узнать, почему для некоторых сайтов плашка слева от
адреса, которая подтверждает наличие ssl шифрования --- зелёная (как
например для https://www.mozilla.org/), а для некоторых (как например
для https://www.cacert.org
On 2012.01.31 at 10:23:32 +0400, sergio wrote:
Всем привет.
Очень хочется узнать, почему для некоторых сайтов плашка слева от
адреса, которая подтверждает наличие ssl шифрования --- зелёная (как
например для https://www.mozilla.org/), а для некоторых (как например
для https
31.01.2012, в 10:23, sergio mail...@sergio.spb.ru написал(а):
Всем привет.
Очень хочется узнать, почему для некоторых сайтов плашка слева от
адреса, которая подтверждает наличие ssl шифрования --- зелёная (как
например для https://www.mozilla.org/), а для некоторых (как например
для
On 01/31/2012 10:32 AM, Victor Wagner wrote:
Вот тут все написано:
http://en.wikipedia.org/wiki/Extended_Validation_Certificate
Спасибо.
Я правильно понял, что технически разницы никакой нет, и она заключается
лишь в порядке выдачи таких сертификатов?
--
sergio.
--
To UNSUBSCRIBE, email
о
проблеме. ан нет, придётся настраивать всех клиентов
Вашему приложению для работы с БД точно надо доверять ВСЕМ
удостоверяющим центрам, сертификаты которых есть в /etc/ssl/certs?
Хром-то понятно - он браузер, он ходит на чьи попало сайты. И у него
есть основания доверят Verisign-у. lynx и wget
сертификат, который шлёт
сервер:
d...@localhost:~$ openssl s_client -connect db.h-m.com:5432
CONNECTED(0003)
2932:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake
failure:s23_lib.c:188:
openssl s_client не поддерживает протокол Postgresql.
smtp, pop3, ftp и imap поддерживает
/root.crl
?
жутко неудобно. думал, сделаю на сервере сертификат честный и забуду о
проблеме. ан нет, придётся настраивать всех клиентов
Вашему приложению для работы с БД точно надо доверять ВСЕМ
удостоверяющим центрам, сертификаты которых есть в /etc/ssl/certs?
да, честный сертификат в
клиента sslmode=verify-full)
для начала, эта команда должна просто показывать сертификат, который шлёт
сервер:
d...@localhost:~$ openssl s_client -connect db.h-m.com:5432
CONNECTED(0003)
2932:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake
failure:s23_lib.c:188
центрам, сертификаты которых есть в /etc/ssl/certs?
а что такого? там ведь в норме жуликов нет )
да, честный сертификат в startcom сделали, его знают все дебианы и убунты из
коробки
Хром-то понятно - он браузер, он ходит на чьи попало сайты.
в том то и дело что хром на линуксе юзает
On Tue, Jun 01, 2010 at 08:50:03PM +0800, Denis Feklushkin wrote:
в том то и дело что хром на линуксе юзает /etc/ssl, как и Firefox. Я даже
удивился
Потому что libnss.
--
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(6):
[...] если вы не боитесь обновляться до Sisyphus, то
Я хочу раздавать из базы информацию nss для компьютеров, разбросанных
географически.
Это пока только идея, не могу предсказать насколько тормозно и глюкаво это
будет.
Но, как минимум, для того чтобы такую раздачу делать нужно чтобы клиенты точно
знали что раздаёт nss-информацию точно тот кто
On 2010.06.01 at 20:50:03 +0800, Denis Feklushkin wrote:
Вашему приложению для работы с БД точно надо доверять ВСЕМ
удостоверяющим центрам, сертификаты которых есть в /etc/ssl/certs?
да, честный сертификат в startcom сделали, его знают все дебианы и убунты из
коробки
Вы подумайте о том
приложению для работы с БД точно надо доверять ВСЕМ
удостоверяющим центрам, сертификаты которых есть в /etc/ssl/certs?
а что такого? там ведь в норме жуликов нет )
Как нет? Там есть Verisign. Это не жулики в общепринятном смысле слова,
но политические проститутки. Во время войны в Ираке был
On 2010.06.01 at 20:52:56 +0800, Denis Feklushkin wrote:
о, спасибо, тут я запутан был, почему-то думал что TLS один на всех и
работать будет со всеми протоколами
TLS-то один на всех, но вот в какой момент его включать - зависит от
протокола.
--
To UNSUBSCRIBE, email to
On Tue, 1 Jun 2010 19:17:22 +0600
Andrey Rahmatullin w...@altlinux.org wrote:
On Tue, Jun 01, 2010 at 08:50:03PM +0800, Denis Feklushkin wrote:
в том то и дело что хром на линуксе юзает /etc/ssl, как и Firefox. Я даже
удивился
Потому что libnss.
а?
--
To UNSUBSCRIBE, email to debian
On Tue, Jun 01, 2010 at 11:02:44PM +0800, Denis Feklushkin wrote:
в том то и дело что хром на линуксе юзает /etc/ssl, как и Firefox. Я даже
удивился
Потому что libnss.
а?
хром на линуксе юзает /etc/ssl, как и Firefox, потому что тоже юзает
libnss.
--
WBR, wRAR (ALT Linux Team)
Powered
On Tue, 1 Jun 2010 21:22:37 +0600
Andrey Rahmatullin w...@altlinux.org wrote:
On Tue, Jun 01, 2010 at 11:02:44PM +0800, Denis Feklushkin wrote:
в том то и дело что хром на линуксе юзает /etc/ssl, как и Firefox. Я
даже удивился
Потому что libnss.
а?
хром на линуксе юзает /etc/ssl
подхватывает CA-сертификаты из /etc/ssl/certs без проблем, и
файерфокс тоже. а с psql что за проблема - непонятно
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org
On Tue, 1 Jun 2010 06:50:01 +0400
Konstantin Matyukhin kmatyuk...@gmail.com wrote:
2010/6/1 Denis Feklushkin denis.feklush...@gmail.com:
гуглохром подхватывает CA-сертификаты из /etc/ssl/certs без проблем, и
файерфокс тоже. а с psql что за проблема - непонятно
симлинк?
ы?
не, pqlib5
s_client -connect db.h-m.com:5432
CONNECTED(0003)
2932:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake
failure:s23_lib.c:188:
пыщь, ошибка
для примера, нормально работающий с ssl вебсервер:
d...@localhost:~$ openssl s_client -connect h--m.com:443
CONNECTED(0003)
depth=0
C S ☫ → To debian-russian @ Thu, May 27, 2010 09:01 +0400
] Ну и? Есть 2 варианта программы keytool. Из ранних писем видно, что
] tomcat использует sun JVM. А вот что такое /usr/bin/keytool не видно.
] Скиньте ls -l /usr/bin/keytool. Хотя я почему-то уверен, что там будет
] что-то вроде
On Thu, May 27, 2010 at 12:56:08PM +0600, Sergey Korobitsin wrote:
$ ls -l /usr/bin/keytool
lrwxrwxrwx 1 root root 25 Сен 24 2009 /usr/bin/keytool -
/etc/alternatives/keytool
Ну и теперь уже update-alternatives --list keytool, для ясности :-).
Просто надо сразу просить realpath, особенно
Andrey Rahmatullin ☫ → To debian-russian@lists.debian.org @ Thu, May 27, 2010
13:06 +0600
On Thu, May 27, 2010 at 12:56:08PM +0600, Sergey Korobitsin wrote:
$ ls -l /usr/bin/keytool
lrwxrwxrwx 1 root root 25 Сен 24 2009 /usr/bin/keytool -
/etc/alternatives/keytool
Ну и теперь уже
Sergey Korobitsin пишет:
Andrey Rahmatullin ☫ → To debian-russian@lists.debian.org @ Thu, May 27, 2010
13:06 +0600
On Thu, May 27, 2010 at 12:56:08PM +0600, Sergey Korobitsin wrote:
$ ls -l /usr/bin/keytool
lrwxrwxrwx 1 root root 25 Сен 24 2009 /usr/bin/keytool -
C S пишет:
]
] Ну если нет желания использовать APR/native connector + OpenSSL, то хотя
] бы логи Tomcat приведите. Там обычно написано что ему не нравится.
]
] P.S. Логи у него в /var/log/tomcat6
SEVERE: Failed to load keystore type JKS with path
/var/lib/tomcat6/certs/.ssl due
] Есть только одна мысль - для генерации keystore используется одна JVM, а
] tomcat запускается с другой JVM
$ dpkg -l | grep java
ii java-common 0.30 Base
of all Java packages
ii java-gcj-compat
] Есть только одна мысль - для генерации keystore используется одна JVM, а
] tomcat запускается с другой JVM
$ find / -name keytool -print
/usr/lib/jvm/java-1.5.0-gcj-4.3-1.5.0.0/jre/bin/keytool
] Есть только одна мысль - для генерации keystore используется одна JVM, а
] tomcat запускается с другой JVM
вы были правы- сгенерировал keystore
$ /usr/lib/jvm/java-6-sun-1.6.0.12/jre/bin/keytool -genkey -alias tomcat
-keyalg RSA
и стартанул tomcat без варнингов и ерроров - в
C S пишет:
] Есть только одна мысль - для генерации keystore используется одна JVM, а
] tomcat запускается с другой JVM
$ find / -name keytool -print
/usr/lib/jvm/java-1.5.0-gcj-4.3-1.5.0.0/jre/bin/keytool
C S пишет:
] Есть только одна мысль - для генерации keystore используется одна JVM, а
] tomcat запускается с другой JVM
вы были правы- сгенерировал keystore
$ /usr/lib/jvm/java-6-sun-1.6.0.12/jre/bin/keytool -genkey -alias tomcat
-keyalg RSA
и стартанул tomcat без
Mike Mironov ☫ → To debian-russian@lists.debian.org @ Wed, May 26, 2010 17:45
+0400
Кстати информация в целом интересная. Не знал я, что java keystore это
не один общий формат, а у каждой jvm свой. Вывод отсюда только один: не
хочется проблем с сертификатами в tomcat - используй native
Sergey Korobitsin пишет:
Mike Mironov ☫ → To debian-russian@lists.debian.org @ Wed, May 26, 2010 17:45
+0400
Кстати информация в целом интересная. Не знал я, что java keystore это
не один общий формат, а у каждой jvm свой. Вывод отсюда только один: не
хочется проблем с сертификатами в
]
] Ну и? Есть 2 варианта программы keytool. Из ранних писем видно, что
] tomcat использует sun JVM. А вот что такое /usr/bin/keytool не видно.
] Скиньте ls -l /usr/bin/keytool. Хотя я почему-то уверен, что там будет
] что-то вроде
]
День добрый,
подскажите плз, что упустил?
настраиваю tomcat6...
#keytool -genkey -alias tomcat -keyalg RSA -keystore /var/lib/tomcat6/certs/.ssl
в /etc/tomcat6/server.xml добавил:
Connector port=8443 protocol=HTTP/1.1 SSLEnabled=true
C S пишет:
День добрый,
подскажите плз, что упустил?
настраиваю tomcat6...
#keytool -genkey -alias tomcat -keyalg RSA -keystore
/var/lib/tomcat6/certs/.ssl
[поскипано]
А нет желания использовать OpenSSL? Так по моему гораздо проще.
--
To UNSUBSCRIBE, email to debian-russian
]
] А нет желания использовать OpenSSL? Так по моему гораздо проще.
]
]
]
да нет, хочется проюзать как по мануалу описано -
http://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html.
BR--
Чертов Вячеслав
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
Mike Mironov ☫ → To debian-russian@lists.debian.org @ Tue, May 25, 2010 17:21
+0400
C S пишет:
День добрый,
подскажите плз, что упустил?
настраиваю tomcat6...
#keytool -genkey -alias tomcat -keyalg RSA -keystore
/var/lib/tomcat6/certs/.ssl
[поскипано]
А нет желания
Sergey Korobitsin пишет:
Mike Mironov ☫ → To debian-russian@lists.debian.org @ Tue, May 25, 2010 17:21
+0400
C S пишет:
День добрый,
подскажите плз, что упустил?
настраиваю tomcat6...
#keytool -genkey -alias tomcat -keyalg RSA -keystore
/var/lib/tomcat6/certs/.ssl
[поскипано
C S пишет:
]
] А нет желания использовать OpenSSL? Так по моему гораздо проще.
]
]
]
да нет, хочется проюзать как по мануалу описано -
http://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html.
Ну если нет желания использовать APR/native connector + OpenSSL, то хотя
бы логи
Mike Mironov ☫ → To debian-russian@lists.debian.org @ Tue, May 25, 2010 17:39
+0400
Можно использовать APR/native connector + OpenSSL. Тогда используется
точно такая же работа с сертификатами, как в Apache. И Java keystore
тогда не используется.
Можно и так, не спорю.
--
Bright regards,
]
] Ну если нет желания использовать APR/native connector + OpenSSL, то хотя
] бы логи Tomcat приведите. Там обычно написано что ему не нравится.
]
] P.S. Логи у него в /var/log/tomcat6
SEVERE: Failed to load keystore type JKS with path /var/lib/tomcat6/certs/.ssl
due to Invalid
On Tue, Feb 02, 2010 at 01:57:48PM +0600, Sergey Korobitsin wrote:
DF В интернетах предлагается сабж - сертификат, защищающий целиком
DF поддомен а не конкретное имя.
DF Это какая-то маркетинговая уловка или такие в самом деле бывают?
DF Как они работают?
Бывают. Так и работают. В
Результаты 1 - 100 из 219 matches
Mail list logo