[Mono]

Sziaztok!

Nem találtam még ilyen topikot, ha létezne már, akkor sorry.

Elsõ körben a kérdésem arra irányulna, van-e valakinek valamilyen tapasztalata saját magunk által aláírt tanúsítányokkal
Van egy levelezõ szerverem, WEBMail felülettel. Azt szeretném, hogy SMTP, POP3, IMAP, illetve HTTP SSL tanúsítvánnyal mûködjenek. Elvileg el is készítettem egy saját magam által aláírt tanúsítványt, amit beállítgattam, viszont az Apache a https protokollra piros böngészõsávot, illetve "Hibás tanúsítványt" jelez internet explorerben.
Elsõ körös kérdés az lenne, hogy ez normális-e így, ne is várjam, hogy kérdés, jóváhagyás nélkül azonnal bejönne a https felület ilyen felállásban, vagy valamit rosszul csináltam :confused:
Az igazi zöld színû böngészõsávos, kérdés nélküli https csak megvásárolt tanúsítvánnyal érhetõ el

Csatoltam egy képet a tanúsítványról, amit az IE-ben látok, próbáltam már a tanúsívány telepítése megoldást is, de ha újraindítom az IE-t, akkor ugyanúgy felteszi a kérdést, piros marad a böngészõsáv.

Csatolt fájl:

•  SSLjpg (0byte)
  Letöltések:: 0

Szerkesztette: Mono 2009. 04. 16. 07:02 -kor

[charlie]

self-signed (önaláírt) tanúsítvány, mivel nem ismerik a böngészõk, os-ek a kibocsátót, érvénytelennek veszik.

így ez normális.

vagy veszel rendes tanúsítványt, vagy hagyod a fenébe, hacsaknem hozzáértõ usereid lesznek.

[Friczy]

Idézet: charlie - Dátum: 2009. ápr. 16., csütörtök - 8:22

self-signed (önaláírt) tanúsítvány, mivel nem ismerik a böngészõk, os-ek a kibocsátót, érvénytelennek veszik.

így ez normális.

vagy veszel rendes tanúsítványt, vagy hagyod a fenébe, hacsaknem hozzáértõ usereid lesznek.

Vagy csinálsz saját CA-t, de a CA tanúsítványát akkor is importálni kell a kliensek gépeibe. Korlátozott számú kliensnél (nem publikus szolgáltatás) ez is megoldás lehet, még ha nem is olyan szép, mint a vásárolt tanúsívány. Viszont olcsóbb

[Mono]

Köszönöm a segítségeteket!

Friczy: Kellemes csalódás volt számomra újra itt látni téged a fórumon, nagyon régen láttam már hozzászólásod

[Mono]

Sziasztok!

Van arra valami mód, hogy egy linuxos szerveren kiállított tanúsítványok mindegyikét valahogy visszavonjam, vagy elegendõ az is, ha az összes így kiállított cert, pem, stb. fájlokat letörlöm :confused:

[Friczy]

Idézet: Mono - Dátum: 2009. máj. 2., szombat - 13:33

Sziasztok!

Van arra valami mód, hogy egy linuxos szerveren kiállított tanúsítványok mindegyikét valahogy visszavonjam, vagy elegendõ az is, ha az összes így kiállított cert, pem, stb. fájlokat letörlöm :confused:

Vond vissza a CA tanúsítványt. Ezzel minden olyan tanúsítvány érvénytelen lesz, amit az adott CA-val írtak alá.

De nem világos, pontosan mi a célod az összes ilyen file visszavonásával.

Ha a tanúsítványokat másoknak kiadtad, akkor a kiállítást végzõ gépen amúgy is teljesen felesleges az összes .pem cert, stb. file, azok a tanúsítvány használatához nem kellenek.

[Mono]

Köszönöm válaszod, idõközben megoldottam a dolgot.
Valamiért nem vette be a courier imap és pop3 a tanúsítványt, ezért vontam vissza, majd generáltam újat, kicsit más megoldással, ami végülis tökéletes lett.

Visszavonni azért akartam, mert nem teljesen tiszta számomra még ez a tenúsítvány gyártás, de úgy tûnik, valahol még "jegyzi" a rendszer, milyen tanúsítványokat állítottam ki.

[Friczy]

Idézet: Mono - Dátum: 2009. máj. 3., vasárnap - 11:03

Köszönöm válaszod, idõközben megoldottam a dolgot.
Valamiért nem vette be a courier imap és pop3 a tanúsítványt, ezért vontam vissza, majd generáltam újat, kicsit más megoldással, ami végülis tökéletes lett.

Visszavonni azért akartam, mert nem teljesen tiszta számomra még ez a tenúsítvány gyártás, de úgy tûnik, valahol még "jegyzi" a rendszer, milyen tanúsítványokat állítottam ki.

Jegyzi, de csak azért, hogy ne adjon ki még egy megegyezõ sorszámút. De tanúsítványt csak akkor van értelme visszavonni, ha kikerült a kezedbõl, és valószínûleg illetéktelen kézbe került a kulcs. Persze ehhez az is kell, hogy legyen CRL-ed, és a hitelesítést végzõ server el is tudja érni és érdemben kezelni a rajta talált információt. Gondolom, ilyenek nincsenek. CRL nélkül viszont  a visszavonás nem ér semmit.

[Mono]

Idézet: Friczy - Dátum: 2009. máj. 5., kedd - 7:59

Jegyzi, de csak azért, hogy ne adjon ki még egy megegyezõ sorszámút. De tanúsítványt csak akkor van értelme visszavonni, ha kikerült a kezedbõl, és valószínûleg illetéktelen kézbe került a kulcs. Persze ehhez az is kell, hogy legyen CRL-ed, és a hitelesítést végzõ server el is tudja érni és érdemben kezelni a rajta talált információt. Gondolom, ilyenek nincsenek. CRL nélkül viszont  a visszavonás nem ér semmit.

Hm, köszi.

Nincs belõle galiba, megy szépen az új. Csak úgy érdeklõdés szinten, tudod, hogy hol és hogyan jegyzi eseteg :confused: Olyasmi módom mondjuk mint az ssh a known_hosts fájlban, amit ha letörlök, minden "nullázódik" és megy tovább az élet, vagy ennél azért bonyolultabb a dolog :confused:

[Friczy]

Idézet: Mono - Dátum: 2009. máj. 6., szerda - 8:44

Hm, köszi.

Nincs belõle galiba, megy szépen az új. Csak úgy érdeklõdés szinten, tudod, hogy hol és hogyan jegyzi eseteg :confused: Olyasmi módom mondjuk mint az ssh a known_hosts fájlban, amit ha letörlök, minden "nullázódik" és megy tovább az élet, vagy ennél azért bonyolultabb a dolog :confused:

Egyáltalán nem bonyolult a dolog, az openSSL tartalmaz egy scriptet, ami megvalósítja a CA funkciókat (/usr/lib/ssl/misc/CA.sh) Ez (és az openssl többi része is) az /etc/ssl/openssl.cnf konfig file-t használja. Ha ebbe belenézel, ott megtalálod a CA beállításokat, és ott a CA_default részben látszik, hogy az alapértelmezett könyvtár a ./demoCA, és alatta a könyvtárak. Ez alá kerül a sorszám is.

[Mono]

Idézet: Friczy - Dátum: 2009. máj. 7., csütörtök - 7:56

Egyáltalán nem bonyolult a dolog, az openSSL tartalmaz egy scriptet, ami megvalósítja a CA funkciókat (/usr/lib/ssl/misc/CA.sh) Ez (és az openssl többi része is) az /etc/ssl/openssl.cnf konfig file-t használja. Ha ebbe belenézel, ott megtalálod a CA beállításokat, és ott a CA_default részben látszik, hogy az alapértelmezett könyvtár a ./demoCA, és alatta a könyvtárak. Ez alá kerül a sorszám is.

Ezer köszönet!