LINUX.ORG.RU

Объясните про сертификаты

 ,


0

1

Объясните, пожалуйста, как положено организовывать работу с сертификатами в Линуксах?

Есть выданный недавно сертификат. Поставили его на сервер, открыли сайт в Хроме под оффтопиком — нормально. Открыли тот же сайт wget-ом под Ubuntu 16.04, получили ошибку:

$ wget https://server5.domain.ru:8002/doc
--2018-10-24 18:34:34--  https://server5.domain.ru:8002/doc
Resolving server5.domain.ru (server5.domain.ru)... 182.197.201.8
Connecting to server5.domain.ru (server5.domain.ru)|182.197.201.8|:8002... connected.
ERROR: cannot verify server5.domain.ru's certificate, issued by ‘CN=COMODO RS
A Domain Validation Secure Server CA,O=COMODO CA Limited,L=Salford,ST=Greater
 Manchester,C=GB’:
  Unable to locally verify the issuer's authority.
Вопрос: что сделать с Убунтой, чтобы она автоматически узнала про новые сертификаты? Вручную добавлять сертификат в /usr/local/share/ca-certificates и запускать update-ca-certificates не годится — как достигнуть того же автоматически?

Или проблема в том, что Дебиан перманентно считает Комодо не заслуживающим доверия?

Ответ: Нужно сложить все присланные Комодо сертификаты в один файл, как описано здесь: https://gist.github.com/bradmontgomery/6487319 , в том же порядке:

cat www_example_com.crt COMODORSADomainValidationSecureServerCA.crt  COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > ssl-bundle.crt
и прописать его в настройках веб-сервера вместо www_example_com.crt (для Апача — SSLCertificateFile).

★★

Ответ на: комментарий от anonymous

В сертификате написан адрес сайта, этот адрес не локалхост. А вгетом ты ллокалхост открываешь.

Спасибо, но с полным адресом та же ошибка. Поэтому привёл сообщение только для локалхоста.

Исправил стартовый пост.

olegd ★★ ()
Ответ на: комментарий от Deleted

Может у него махровый интерпрайз с отбитыми безопасниками, которые ничего, кроме купленых сертов не дают ставить.

Мотивация иная, но результат тот же — только купленные, и самые дешёвые.

olegd ★★ ()
Ответ на: комментарий от Deleted

Тебе надо собрать матрешку бандл из твоего серта, и промежуточных, где-то на сайте комоды был мануал.

Как здесь? https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=742810 https://gist.github.com/bradmontgomery/6487319 WGet ругается на сертификат, а браузер нет ?

За 4 года так ничего и не сделали? Дебиан забанил Комодо?

olegd ★★ ()
Ответ на: комментарий от olegd

За 4 года так ничего и не сделали?

А что, по-твоему, должны были сделать? Отправлять полную цепочку сертификатов - это норма, и в некоторых случаях требование. В том, что с сайтом, который этого не делает, будут проблемы, виноват только администратор сайта.

gasinvein ★★★ ()
Ответ на: комментарий от gasinvein

Отправлять полную цепочку сертификатов - это норма, и в некоторых случаях требование.

Можно поподробнее? Что мой сайт делает неправильно? Почему это специфично для Дебиана?

olegd ★★ ()
Ответ на: комментарий от olegd

Это не специфично для дебиана. Твой сайт сервер должен отправлять все сертификаты, от конечного до корневого, в бандле, а не только конечный.

Сходи на https://www.ssllabs.com/ssltest и посмотри подробнее, что не так.

gasinvein ★★★ ()
Последнее исправление: gasinvein (всего исправлений: 1)
Ответ на: комментарий от gasinvein

Браузер доверяет только локальным корневым сертификатам. Вкладывать корневой сертификат в цепочку - лишний трафик на каждый TLS-хендшейк, в цепочке достаточно сертификата домена и всех промежуточных сертификатов между этим сертификатом и корневым.

feanor ★★★ ()
Ответ на: комментарий от entefeed

дык, коммерсы платят за сертификаты и это нормально. а LE - это для мелких частных серверов самое то. и сертификаты там надо постоянно апдейтить.

другое дело, что коммерсы разные бывают. давеча тут зашла на сайт одной крупной официальной организации (не буду её тут пиарить), которая принимала оплату безналом (со всеми реквизитами карт и т.д.) в plain http. и https там вообще отсутствовал. ваще красота. прямыми ссылками качаются скрипты, отправляются данные. ну, написала я им письмо. правда, ответа не последовало. не знаю, поняли ли они меня вообще или нет.

Iron_Bug ★★★★ ()
Последнее исправление: Iron_Bug (всего исправлений: 1)
Ответ на: комментарий от Dark_SavanT

Цель была в том, чтобы на всех клиентах работало без каких-либо дополнительных действий со стороны пользователей. Объединение сертификатов в одном файле это обеспечило.

olegd ★★ ()