- zeller blogja
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Nincs rajta valami HTTPS-t is buzeráló víruskergető? :D
- A hozzászóláshoz be kell jelentkezni
Ez nem az az eset ;) amiről a fórumokban lehet olvasni... A böngészők gyakorlatilag "nem kérik el" a certet a tanusítványtártól.
- A hozzászóláshoz be kell jelentkezni
Ilyen tesztre használható még az openssl/s_client, a wget, meg a curl.
(Vagy akár bepasztázhatod ide a cert-et (persze a prvkey-t nem), hátha több szem többet lát.)
> A böngészők gyakorlatilag "nem kérik el" a certet a tanusítványtártól.
Esetleg a szerver el sem küldi, hogy milyen tanusítványt óhajtozik? (Mármint azt a metainfót, hogy mely CA-tól származó certet fogad el.)
- A hozzászóláshoz be kell jelentkezni
A certtel nincs gond, ha Firefox-ba húzom be, akkor az adott szerverre történő csatlakozáskor szépen feldonja a certificate-választó ablakot, hogy melyiket szeretném használni, és ahogy kiválasztom, szépen felépül a cert. alapon authentikált kapcsolat.
- A hozzászóláshoz be kell jelentkezni
Egy rakat cert lett legenerálva egy sokéves scripttel - úgy tűnik, valahol, valami félrement közben, úgyhogy a script kihajít, (rondán összelapátolt python glue az openssl piszkálásához...), TinyCA felpattint, és némi kézi matatással újragenerálódtak a certek, és ami fontos, ezeket már jól kezeli az IS/Chrome is.
- A hozzászóláshoz be kell jelentkezni
SubjectAltName egy ideje kötelező elem, és a Chrome sír is miatta. Ez lehet a gond?
- A hozzászóláshoz be kell jelentkezni
Valami az aláírás körül nem volt 100%-ban kerek - gyakorlatilag hozzá sem nyúlt az IE meg a Chrome a cert.store-hoz (úgy raktam be a certet, hogy szóljon, ha a kulcsot valami használni akarja), amikor a túloldal certet kért tőle. Ugyanazt a p12 fájlt betolva FF-os cert.store-ba, pöcc-röff ment a csatlakozás...
Mindegy, majd ha lesz érkezésem, kitörpölöm, hogy mi ment, mi mehetett félre a certek tömeges legyártása során, ami miatt a Windows-os tanusítványtárra támaszkodó böngészők nem szerették. SubjectAltName miatt nem picsogott senki - megmondom őszintén, nem néztem, hogy a TinyCA belepakolja-e vagy sem...
- A hozzászóláshoz be kell jelentkezni
A "NET::ERR_CERT_COMMON_NAME_INVALID" hibaüzenet picit más, mint a "ERR_BAD_SSL_CLIENT_ AUTH_CERT" :-P
- A hozzászóláshoz be kell jelentkezni
Jogos. :)
- A hozzászóláshoz be kell jelentkezni