LINUX.ORG.RU
решено ФорумAdmin

Объясните про сертификаты

 ,


0

1

Объясните, пожалуйста, как положено организовывать работу с сертификатами в Линуксах?

Есть выданный недавно сертификат. Поставили его на сервер, открыли сайт в Хроме под оффтопиком — нормально. Открыли тот же сайт wget-ом под Ubuntu 16.04, получили ошибку:

$ wget https://server5.domain.ru:8002/doc
--2018-10-24 18:34:34--  https://server5.domain.ru:8002/doc
Resolving server5.domain.ru (server5.domain.ru)... 182.197.201.8
Connecting to server5.domain.ru (server5.domain.ru)|182.197.201.8|:8002... connected.
ERROR: cannot verify server5.domain.ru's certificate, issued by ‘CN=COMODO RS
A Domain Validation Secure Server CA,O=COMODO CA Limited,L=Salford,ST=Greater
 Manchester,C=GB’:
  Unable to locally verify the issuer's authority.
Вопрос: что сделать с Убунтой, чтобы она автоматически узнала про новые сертификаты? Вручную добавлять сертификат в /usr/local/share/ca-certificates и запускать update-ca-certificates не годится — как достигнуть того же автоматически?

Или проблема в том, что Дебиан перманентно считает Комодо не заслуживающим доверия?

Ответ: Нужно сложить все присланные Комодо сертификаты в один файл, как описано здесь: https://gist.github.com/bradmontgomery/6487319 , в том же порядке:

cat www_example_com.crt COMODORSADomainValidationSecureServerCA.crt  COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > ssl-bundle.crt
и прописать его в настройках веб-сервера вместо www_example_com.crt (для Апача — SSLCertificateFile).

★★★

Последнее исправление: olegd (всего исправлений: 5)

необходимо заплатить системному администратору

anonymous
()
Ответ на: комментарий от anonymous

Для локалхоста можно вообще какие угодно сертификаты впердолить, хоть самоподписанные. Комодо нинужен.

entefeed ☆☆☆
()
Ответ на: комментарий от entefeed

Может у него махровый интерпрайз с отбитыми безопасниками, которые ничего, кроме купленых сертов не дают ставить.

Deleted
()

В сертификате написан адрес сайта, этот адрес не локалхост. А вгетом ты ллокалхост открываешь.

anonymous
()
Ответ на: комментарий от anonymous

В сертификате написан адрес сайта, этот адрес не локалхост. А вгетом ты ллокалхост открываешь.

Спасибо, но с полным адресом та же ошибка. Поэтому привёл сообщение только для локалхоста.

Исправил стартовый пост.

olegd ★★★
() автор топика
Ответ на: комментарий от Deleted

Может у него махровый интерпрайз с отбитыми безопасниками, которые ничего, кроме купленых сертов не дают ставить.

Мотивация иная, но результат тот же — только купленные, и самые дешёвые.

olegd ★★★
() автор топика
Ответ на: комментарий от olegd

Тебе надо собрать матрешку бандл из твоего серта, и промежуточных, где-то на сайте комоды был мануал.

Deleted
()
Ответ на: комментарий от olegd

С LE проблемы нет раз сертификат выдается всё равно для инторнетов.

mandala ★★★★★
()
Ответ на: комментарий от Deleted

Тебе надо собрать матрешку бандл из твоего серта, и промежуточных, где-то на сайте комоды был мануал.

Как здесь? https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=742810 https://gist.github.com/bradmontgomery/6487319 WGet ругается на сертификат, а браузер нет ?

За 4 года так ничего и не сделали? Дебиан забанил Комодо?

olegd ★★★
() автор топика
Ответ на: комментарий от olegd

За 4 года так ничего и не сделали?

А что, по-твоему, должны были сделать? Отправлять полную цепочку сертификатов - это норма, и в некоторых случаях требование. В том, что с сайтом, который этого не делает, будут проблемы, виноват только администратор сайта.

gasinvein ★★★
()
Ответ на: комментарий от gasinvein

Отправлять полную цепочку сертификатов - это норма, и в некоторых случаях требование.

Можно поподробнее? Что мой сайт делает неправильно? Почему это специфично для Дебиана?

olegd ★★★
() автор топика
Ответ на: комментарий от olegd

Это не специфично для дебиана. Твой сайт сервер должен отправлять все сертификаты, от конечного до корневого, в бандле, а не только конечный.

Сходи на https://www.ssllabs.com/ssltest и посмотри подробнее, что не так.

gasinvein ★★★
()
Последнее исправление: gasinvein (всего исправлений: 1)
Ответ на: комментарий от gasinvein

Браузер доверяет только локальным корневым сертификатам. Вкладывать корневой сертификат в цепочку - лишний трафик на каждый TLS-хендшейк, в цепочке достаточно сертификата домена и всех промежуточных сертификатов между этим сертификатом и корневым.

feanor ★★★
()

У убунты сертификаты протухшие и не знают о этой цепочке комодовской. Вкатай свежий мозилловский бандл и будет норм.

Dark_SavanT ★★★★★
()
Ответ на: комментарий от Dark_SavanT

Вкатай свежий мозилловский бандл и будет норм.

Куда вкатать? На клиент, или на сервер? На клиент нельзя.

olegd ★★★
() автор топика
Ответ на: комментарий от feanor

Один сертификат — 2400 байт, весь бандл — 8000 байт. Неприятно, но не страшно.

olegd ★★★
() автор топика
Ответ на: комментарий от gasinvein

Сходи на https://www.ssllabs.com/ssltest и посмотри подробнее, что не так.

Спасибо, нашёл дыру в сайте головного офиса. Обрадую их :)

olegd ★★★
() автор топика
Ответ на: комментарий от olegd

На клиент, либо подбирать сертификат у выдающих который будет биться локальным бандлом.

Либо использовать curl. Ему можно бандл подсунуть параметром.

Dark_SavanT ★★★★★
()
Ответ на: комментарий от entefeed

дык, коммерсы платят за сертификаты и это нормально. а LE - это для мелких частных серверов самое то. и сертификаты там надо постоянно апдейтить.

другое дело, что коммерсы разные бывают. давеча тут зашла на сайт одной крупной официальной организации (не буду её тут пиарить), которая принимала оплату безналом (со всеми реквизитами карт и т.д.) в plain http. и https там вообще отсутствовал. ваще красота. прямыми ссылками качаются скрипты, отправляются данные. ну, написала я им письмо. правда, ответа не последовало. не знаю, поняли ли они меня вообще или нет.

Iron_Bug ★★★★★
()
Последнее исправление: Iron_Bug (всего исправлений: 1)
Ответ на: комментарий от entefeed

нет. а что? просто читаю темы в трекере и комменты к ним.

Iron_Bug ★★★★★
()
Ответ на: комментарий от Dark_SavanT

Цель была в том, чтобы на всех клиентах работало без каких-либо дополнительных действий со стороны пользователей. Объединение сертификатов в одном файле это обеспечило.

olegd ★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.