SSL tanúsítvány

Ubuntu Linux

Sziasztok!

A godaddy-n igényeltem egy Standard SSL tanúsítványt. Generáltam csr és key fájlokat. A csr-t bemásoltam a godaddyn a megfelelő helyre. Onnan letöltöttem a domain.crt és sf_bundle.crt fájlokat.

VirtualHost így néz ki:
SSLEngine on
SSLCertificateFile /etc/ssl/certs/domain.crt
SSLCertificateKeyFile /etc/ssl/certs/domain.key
SSLCertificateChainFile /etc/ssl/certs/sf_bundle.crt

Firefox és Chrome szerint rendben van, de IE7 azt írja, hogy érvénytelen. Support csak annyit válaszolt, hogy próbáljak meg új kulcsot generálni. Megtörtént, de semmi változás. Hogy lehetne elfogadtatni Explorerrel is?

  • 5861 megtekintés

( VaZso v | 2011. 09. 10., szo – 19:54 )

Nem lehet, hogy nincs benne IE-ben a tanúsító tanúsítványa?

Találtam Starfield nevűt a listában, szóval elvileg benne van. Azt elfelejtettem írni, hogy a tanúsítvány egy aldomainre szól, amibe ráadásul kötőjel is van. Nem tudom ez befolyásolhatja-e. al-domain.domain.hu Esetleg van olyan honlap, ami kidobja, hogy milyen hiba miatt utasít el az IE?

( janoszen v | 2011. 09. 11., v – 08:19 )

Kitől vetted a certet? Mert én az Android + RapidSSL kombóval szívtam meg, kellett külön bundle-t csinálni hogy működjön.

Egy 

openssl x509 -in /etc/ssl/certs/domain.crt -noout -text

kimenetet mutass már légyszi.


Certificate:
Data:
Version: 3 (0x2)
Serial Number:
04:62:(...)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=US, ST=Arizona, L=Scottsdale, O=Starfield Technologies, Inc., OU=http://certificates.starfieldtech.com/repository, CN=Starfield Secure Certification Authority/serialNumber=10688435
Validity
Not Before: Sep 10 14:41:24 2011 GMT
Not After : Sep 9 19:53:20 2012 GMT
Subject: O=al-domain.domain.hu, OU=Domain Control Validated, CN=al-domain.domain.hu
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (2048 bit)
Modulus (2048 bit):
00:9f:(...)
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:FALSE
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 CRL Distribution Points:
URI:http://crl.starfieldtech.com/sfs1-20.crl

X509v3 Certificate Policies:
Policy: 2.16.840.1.114414.1.7.23.1
CPS: http://certificates.starfieldtech.com/repository/

Authority Information Access:
OCSP - URI:http://ocsp.starfieldtech.com/
CA Issuers - URI:http://certificates.starfieldtech.com/repository/sf_intermediate.crt

X509v3 Authority Key Identifier:
keyid:49:4B:(...)

X509v3 Subject Alternative Name:
DNS:al-domain.domain.hu, DNS:www.al-domain.domain.hu
X509v3 Subject Key Identifier:
7F:82:(...)
Signature Algorithm: sha1WithRSAEncryption
b6:ef:(...)

És a kliens meg is kapja a certificate chaint?

openssl s_client -connect HOST:PORT

És másold ide pls, ami a Certificate chain részben van a két --- között.

Mellesleg az IE7-ben kattints már rá a tanúsítvány infóra, és a részletes adatokat screenshotold már le pls, ott kiírja pontosan, hogy mi a baja.

Nameg, ha simán lemented windowsera a kulcsodat, valami.crt néven és megnyitod, akkor jónak találja?

openssl s_client -connect al-domain.domain.hu:443

Certificate chain
0 s:/C=HU/ST=Pest/L=Budapest/O=domain.hu/CN=domain.hu/emailAddress=info@domain.hu
i:/C=HU/ST=Pest/L=Budapest/O=domain.hu/CN=domain.hu/emailAddress=info@domain.hu

Tanúsítványt nem tudok fényképezni, mert:
Ez a dokumentumtípus nem rendelkezik biztonsági tanúsítvánnyal.

A kulcs lementést mindjárt kipróbálom. Csak azt nem értem, hogy ha valamit rosszul állítottam volna be, akkor a többi böngésző miért nem dob hibát rá!?

szerk:
Letöltöttem a kulcsot és telepítettem. Így is hibát dob.

Nem küldöd ki a certficate chaint.

Meg ha tényleg ugyanaz van azz issue sorba mint a subject sorba, akkor valami nem okés, mert az egy self signed cert.

Mikor az IE hibát dob, továbblépsz, hogy elfogadod a hibás tanúsítványt, aztán Tanúsítvány hiba szövegre kattintva, előjön a popup, ott meg ott lesz a tanúsítvány részletei.

Igen, arra sikerült rájönnöm, hogy saját magunk által aláírt tanúsítvány megy ki. Van egy _default_:443 virtualhost, ami a nem létező aldomaineket gyűjti össze. De ha ezt kiveszem a sites-enabled-ből, akkor is azt a tanúsítványt dobja ki.

szerk:
Elfogadtam a hibás tanúsítványt:
Azt látom, hogy nem a godaddys al-domain.domain.hu-s tanúsítvány, hanem a defaultos(domain.hu) fut le és IE azt mondja, hogy a CA főtanúsítványa nem megbízható.

Tehát szerintem az aldomainre jól be van configolva a tanúsítvány, valahogy a saját magunk által aláírtat kéne törölni. Kihangsúlyoznám, hogy a fődomainre nincs más által aláírt tanúsítvány, így érthető a hiba. Csak az aldomainre vettünk.

( Kayapo | 2011. 09. 11., v – 17:52 )

Nekem ez így van confolva: 

SSLEngine on
SSLCertificateFile /etc/apache2/ssl/ugyfelkapu.bnv-equity.hu.crt
SSLCertificateKeyFile /etc/apache2/ssl/ugyfelkapu.bnv-equity.hu.key
SSLCertificateChainFile /etc/apache2/ssl/gd_bundle.crt
SSLCACertificatePath /etc/apache2/ssl/

SSLCipherSuite ALL:!ADH:!LOW:!SSLv2:!EXP:!kEDH:+HIGH:+MEDIUM
SSLProtocol all -SSLv2

És ez a kimenete, a

openssl s_client -host ugyfelkapu.bnv-equity.hu -port 443 -showcerts

----
올드보이
http://molnaristvan.eu/

Neked hogy került bele ez a sor?
"i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certificates.godaddy.com/repository"

Mintha ez hiányozna.

szerk:
most teljesen úgy csináltam, ahogy neked van, de semmi változás. IE-n kívül a többi böngészőbe jó. Viszont a openssl-es parancsra semmi godaddy-t nem látok. A fődomainre (domain.hu) van egy saját magunk által aláírt tanúsítvány. Úgy tűnik az fut le az aldomainre is.

A te configod is virtualhostban van?

Nem egészen értem a kérdést. De most valahogy így néz ki:

<VirtualHost *:443 *:80>
ServerName al-domain.domain.hu
ServerAlias www.al-domain.domain.hu

SSLEngine on
SSLCertificateFile /etc/ssl/al-domain.domain.hu.crt
SSLCertificateKeyFile /etc/ssl/al-domain.key
SSLCertificateChainFile /etc/ssl/gd_bundle.crt
SSLCACertificatePath /etc/ssl/
SSLCipherSuite ALL:!ADH:!LOW:!SSLv2:!EXP:!kEDH:+HIGH:+MEDIUM
SSLProtocol all -SSLv2

A fődomaint (domain.hu) egy másik virtualhost kezeli le.

Azt a filet használtam (gd_bundle.crt) amit a Go Daddy adot a certhez.

Viszont az nagyon nem fog menni amit te szeretnél. A domained.hu és a www.domained.hu -nak ugyan azt a certet kell használnia. Tehát használj subjectAltName -el igényelt tanusítványt. ( http://www.crsr.net/Notes/Apache-HTTPS-virtual-host.html )

----
올드보이
http://molnaristvan.eu/

Alap esetben egy ip cím port pároson, egy tanúsítványt használhatsz, mivel a host paraméter átadása már az ssl-es kommunikáció felvétele után zajlik.

Erre találták ki az SNI-t, amely használata esetén már az TLS/SSL negotiation közbe beköhögi a kliens, hogy majd milyen hostot szeretne, így a webszerver már azt fogja kiszolgálin tanúsítványilag is.

Azonban ez egy egész új dolog, egyrészt újabb openssl kell hozzá, (0.9.8-as asszem), másrészt a kliensnek is támogatnia kell (nameg a http kiszolgálódnak is). Windows és IE kapcsolatában ez legalább Vistát és IE7-t jelent, Firefoxból 2-es, Android nem tudja, stb. SNI-t nem támogató klienssel az apache az első SSL virtualhostot fogja kiszolgálni.

És akkor tudsz per virtualhost tanúsítványt állítani.

Alap esetben pedig csak vagy külön ip cím minden ilyen virtualhostnak, vagy külön port.

Beírtam fixen az IP-t a port elé és így valóban jól működik, csak értelmetlenné válik így a többi virtualhost. Ha nem muszáj, nem vennék új IP-t. Van arra lehetőség, hogy 443-as porton megmaradjanak a saját magunk által aláírt tanúsítványok és egy másik porton a godaddys tanúsítvány működjön?

Értem a logikádat, csak azt nem értem, hogy a https-re hogy fog menni a 444-es portra? apache2.conf-ba beállítottam a NameVirtualHost *:444. A virtualhostban pedig az IP:444-et. De ha beírom a böngészőbe a https-t, akkor a 443-as porton fog próbálkozni, nem? Vagy portforward is kéne?

szerk:
Most már működik jól, csak a domain után kell írni a :444 portot. :)

( pgabor v | 2011. 09. 12., h – 11:46 )

Köszönöm mindenkinek az építő jellegű hozzászólását!