LINUX.ORG.RU
решено ФорумGeneral

Помогите прикрутить сертификаты к Apache2 для хождения по https

 , ,


0

3

инструкций полно, в апаче все прописал. вирт хост работает, все пускает, все показывает. но.

сертификаты генерил на https://buy.wosign.com/free/

при хождении по https:// на мой сайт браузеры ругаются, что сертификаты плохие.

чяднт? и как правильно генерить/подписывать сертификаты? в общем, как завести правильный Ъ-https?

★★★★★

Причин может быть несколько, хорошо бы, если бы ты адрес тестового сервера сюда выложил. Из того, что может быть - браузеры вообще не доверяют твоему wosign, ты вместо цепочки сертификатов в апаче используешь только один конечный сертификат, домены в сертификате указал неправильно.

Vovka-Korovka ★★★★★
()
Ответ на: комментарий от Vovka-Korovka

а вот что в логах обнаружилось

[Tue Aug 11 12:51:04 2015] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Tue Aug 11 12:51:04 2015] [warn] RSA server certificate CommonName (CN) `WoSign CA Free SSL Certificate' does NOT match server name!?
[Tue Aug 11 12:51:04 2015] [error] Unable to configure RSA server private key
[Tue Aug 11 12:51:04 2015] [error] SSL Library Error: 185073780 error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch

Но, возможно, это я пытался прописать в конфиг сертификат 1_root_bundle.crt

bvn13 ★★★★★
() автор топика
Последнее исправление: bvn13 (всего исправлений: 2)
Ответ на: комментарий от bvn13

stormfb.kmobile-games.ru uses an invalid security certificate. >The certificate is not trusted because the issuer certificate is unknown. The server might not be sending the appropriate intermediate certificates. An additional root certificate may need to be imported.

CA нет в списке доверенных сертификатов.

tiandrey ★★★★★
()
Ответ на: комментарий от tiandrey

ну.... и что делать? я немного не понимаю всю эту технологию пока с сертификатами. можете объяснить в двух словах, что от меня требуется?

bvn13 ★★★★★
() автор топика
Ответ на: комментарий от tiandrey

во. additional root certificate, кажись, есть. как его прописать в апач?

bvn13 ★★★★★
() автор топика
Ответ на: комментарий от bvn13

SSLCertificateFile /etc/ssl/certs/YOURSITE_CERT.pem
SSLCertificateChainFile /etc/ssl/certs/sub.class1.server.ca.pem

Тебе надо там где ты делал сертификат взять цепочку сертификатов Certificate Chain и добавить в апач

anonymous
()
Ответ на: комментарий от bvn13

ну.... и что делать? я немного не понимаю всю эту технологию пока с сертификатами. можете объяснить в двух словах, что от меня требуется?

Могу поделиться своей краткой шпаргалкой: про настрйоку https и про криптографию в целом.

Jurik_Phys ★★★★★
()
Ответ на: комментарий от disee

просьба проверить сейчас, как обстоят дела.

добавил опцию SSLCACertificateFile с указанием 1_root_bundle.crt. Как пишут в доках, этот рут-бандл и есть набор pem файлов.

bvn13 ★★★★★
() автор топика
Ответ на: комментарий от bvn13

Мой браузер все еще ругается по той же причине

disee ★★★
()
Ответ на: комментарий от disee

Это не ошибка конфигурации сервера, это WoSign пока в Certificate Transparency не учавствует.

Vovka-Korovka ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
General