LINUX.ORG.RU
ФорумAdmin

Подпись клиентских сертификатов купленным сертификатом


0

1

Такой вопрос. Есть сайт авторизация происходит по клиентским сертификатом.Подписываются они самоподписаным сертификатом. И браузер ругается при переходе на сайте. Сейчас купил сертификат от комодо. Подписываю им. Но при открытия защишенной страницы и указания нужного сертификата выдаёт ошибку

ERR_BAD_SSL_CLIENT_AUTH_CERT
Вот такой конфиг хоста
<VirtualHost %IP%:443>
	SSLEngine on
	SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0
	SSLCertificateFile /ca.crt
	SSLCertificateKeyFile /ca.key
	SSLCACertificateFile /ca.crt  
        SSLCertificateChainFile /ca.ca-bundle    
	<Directory /var/www/user/data/www/site.ru/>
	SSLVerifyClient require
	</Directory>
	SSLOptions +StdEnvVars +ExportCertData
	ServerName site.ru
	DocumentRoot /var/www/user/data/www/site.ru
	AssignUserID user user
	ErrorLog /var/www/httpd-logs/site.ru.error.log
	ServerAlias site.ru
	ServerAdmin webmaster@site.ru
	php_admin_value open_basedir "/var/www/user/data:."
	php_admin_value sendmail_path "/usr/sbin/sendmail -t -i -f webmaster@site.ru"
	php_admin_value upload_tmp_dir "/var/www/user/data/mod-tmp"
	php_admin_value session.save_path "/var/www/user/data/mod-tmp"
	AddType application/x-httpd-php .php .php3 .php4 .php5 .phtml
	AddType application/x-httpd-php-source .phps
</VirtualHost>

Если же убрать эти строки

<Directory /var/www/user/data/www/site.ru/>
	SSLVerifyClient require
	</Directory>
То просто выдаёт защищенную страницу без запроса сертификата, при этом показывает что соединение достоверное. т.е. зелённый https:

Возник вопрос. А можно ли вообще подписывать клиентские сертификаты не самоподписанным сертификатом?

Если можно, то скажите что делаю не так?

Клиентский сертификат создаю

openssl req -new -newkey rsa:1024 -nodes -keyout clien01.key  -subj /C=RU/CN=clien01/emailAddress=usr@dm.ru -out clien01.csr
openssl ca -config ca.config -in clien01.csr -out clien01.crt -batch
openssl pkcs12 -export -in clien01.crt -inkey clien01.key -certfile ca.crt -out clien01.p12 -passout pass:q1w2e3


Вообще это зависит от самого сертификата, то есть одним из его назначений (key usage) должно быть «Certificate Sign»

X509v3 Key Usage:
Certificate Sign
иначе - фейл.

af5 ★★★★★ ()
Ответ на: комментарий от soleg

А вообще можно купить серт, которым можно было бы подписывать сертификаты?Или это не возможно и придётся обойтись самоподписанным?

soleg ()
Ответ на: комментарий от soleg

нет, ты начнешь подписывать чужие сертификаты и продавать их

zgen ★★★★★ ()
Ответ на: комментарий от soleg

Нет, либо юзеры пусть там же покупают сертификаты, либо разворачивайте собственный полновесный PKI со всеми сопутствующими сервисами типа выдачи, обновления, отзыва сертификатов, инструкциями по генерации ключей и тд.

af5 ★★★★★ ()
Ответ на: комментарий от af5

Спасибо за ответы.

Для того что бы не браузер не ругался и https был зедёный , оказывается нужно было при создании ключа для подписи в параметре CN прописать адрес сайта. По крайней мере хром и ие перестали ругаться. Это главное.

Так как тут люди разбирающиеся в этом, а я ток ток познаю азы, такой вопрос. Можно ли сделать так, что бы самоподписанный сертификат выводил название компании? Как на картинке. _http://habrastorage.org/storage2/89d/6db/bb5/89d6dbbb56747fb0468a05fb9b81eb11.png

soleg ()
Ответ на: комментарий от soleg

Нет, так только самые-самые доверенные с точки зрения браузера удостоверяющие центры обозначаются

af5 ★★★★★ ()
Ответ на: комментарий от soleg

Точнее самые-самые доверенные компании, прошедшие самую-самую полную процедуру получения сертификата у самых-самых доверенных удостоверяющих центров. А то развелось последнее время всяких «зелёных» которые вовсе левые

af5 ★★★★★ ()
Последнее исправление: af5 (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.