apache2 tanusítvány

Fórumok

apache2 tanusítvány

Hozzászólások

találtam egy ilyen oldalt, hátha érdekel: http://mars.elcom.nitech.ac.jp/security/aica-e.html

[quote:84cf925d89="lacika"]Ezt hogy állítsam elő a meglévő privát kulcsomból, a csr -emből és a tenusítványomból?

Milyen formában van jelenleg a tanúsítványod ?

[quote:41abbd881f="kasa"][quote:41abbd881f="lacika"]Ezt hogy állítsam elő a meglévő privát kulcsomból, a csr -emből és a tenusítványomból?

Milyen formában van jelenleg a tanúsítványod ?

pem -ben. De egy korábbi hozzászólás alapján sikerült, és vissza is igazolták hogy jó volt. Köszönöm a segítségeket!

Sziasztok,

Lenne egy problémám. Ismerősöm igényelt az apache webszerveréhez a Netlocktól egy C osztályú tanusítványt. Azt meg is kaptuk. Mikor telepítettem az apache -ra, kiderült, hogy mikor legenerálta a srác a csr -t, adott meg jelszót. Így az apache minde /etc/init.d/apache2 restart -nál (vagy akár a gép indításánál) bekéri ezt a jelszót. na ez így nem a legjobb. Meg lehet valahogy oldani, hogy valahonnan tudj az apache ezt a jelszót, vagy igényeljen egy új tanusítványt (ez gáz lenne, mert erre is 1 hónapot vártunk). Előre is köszönöm!

Csúnya dolog, de ahogy tudom, expect az egyik megoldás.
http://expect.nist.gov/

Le lehet venni a jelszot, mivel az nem a certificate-en van, hanem a private key-en. Ezt biztonsagi okokbol nem ajanljak... Viszont ha elkezdesz expect-ezni vagy valami hasonlo, akkor ugyanott vagy, es igy egyszerubb.
A jelszo kitorleset az openssl manual page-eken valahol meg lehet nezni (tulajdonkeppen exportrol van szo, amire nem tesztek passwordot).

http://slacksite.com/apache/certificate.html

google gonosz!

t

[quote:6de166a971="1aca"]Le lehet venni a jelszot, mivel az nem a certificate-en van, hanem a private key-en. Ezt biztonsagi okokbol nem ajanljak... Viszont ha elkezdesz expect-ezni vagy valami hasonlo, akkor ugyanott vagy, es igy egyszerubb.
A jelszo kitorleset az openssl manual page-eken valahol meg lehet nezni (tulajdonkeppen exportrol van szo, amire nem tesztek passwordot).

Hálás köszönet a gyors és használható válaszért.
Így sikerült:
openssl rsa -in passwd.key -out nopasswd.key

és itt találtam:

http://bs2000.fujitsu-siemens.com/download/Goodies/SMAWPlus/SMAWPossl/html/apps/rsa.html

Egy kis folytatás :).
Most már az apache nem kéri a jelszót. Viszont arra lenne szükség, hogy az adott virtualhost -ot (amihez a tanusítvány lett vásárolva) csak a megfelelő client certificate -val rendelkező emberkék érjék el. Ezért ezt tettem bele a virtualhost részébe:

SSLEngine on
SSLCertificateKeyFile /etc/apache2/ssl/domain.key
SSLCertificateFile /etc/apache2/ssl/domain.crt
SSLCACertificateFile /etc/apache2/ssl/domain.crt
SSLVerifyClient require
SSLVerifyDepth 1

Ahol a domain.key az általam jelszómentesített kulcs, a domain.crt, amit a Netlock kiadott. Majd apache2 restart és ez lészen az error.log -an:

[Thu Jan 26 22:22:01 2006] [info] Connection to child 11 established (server domain.hu:443, client IPCÍM)
[Thu Jan 26 22:22:01 2006] [info] Seeding PRNG with 136 bytes of entropy
[Thu Jan 26 22:22:01 2006] [info] (70014)End of file found: SSL handshake interrupted by system [Hint: Stop button pressed in browser?!]
[Thu Jan 26 22:22:01 2006] [info] Connection to child 11 closed with abortive shutdown(server domain.hu:443, client IPCÍM)
[Thu Jan 26 22:22:01 2006] [info] Connection to child 13 established (server domain.hu:443, client IPCÍM)
[Thu Jan 26 22:22:01 2006] [info] Seeding PRNG with 136 bytes of entropy
[Thu Jan 26 22:22:01 2006] [info] SSL library error 1 in handshake (server domain.hu:443, client IPCÍM)
[Thu Jan 26 22:22:01 2006] [info] SSL Library Error: 336105671 error:140890C7:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate No CAs known to server for verification?
[Thu Jan 26 22:22:01 2006] [info] Connection to child 13 closed with abortive shutdown(server domain.hu:443, client IPCÍM)

Az explorer meg azt mondja, hogy nem jeleníthető meg az oldal. Utánnaolvastam és gyorsan rájöttem hogy kellene egy tanusítvány is a klienseknek. Amivel rendelkezek: publikus kulcs, privát kulcs, netlock álltal kiadott tanusítvány, és a tanusítvány kérelem. Mivel korábban ilyet nem csináltam, kicsit elvesztem a különböző leírások dzsungelében. Két kérdésem lenne:
1: hogy tudom legenrálni az (gondolom az openssl parancs segítségével, csak a paraméterezést nem tudom) a klienseknek a tanusítványt?
2: hogy telepítem azt fel pl. Explorer vagy Firefoxra?

Előre is köszönöm a segítséget!

Eloszor is, a client cert-nek semmi koze a server cert-hez.. Elmeletileg lehet, de sok ertelme nincs.
En a kovetkezokeppen szoktam client cert-eket generalni:
Eloszor is kell egy root CA, amit arra fogok hasznalni, hogy a client cert-re rakjak egy signature-t
[code:1:fb85c56f0a]
openssl req -x509 -newkey ...
[/code:1:fb85c56f0a]
Utana generalok egy CSR (certificate signing request):
[code:1:fb85c56f0a]
openssl req -newkey ....
[/code:1:fb85c56f0a]
Es legvegul rapakolom a CA signature-t:
[code:1:fb85c56f0a]
openssl x509 -req -in <az elozo lepesnel generalt publikus key> -out ... -CA <a legelso lepesnel generalt publikus kulcs> -CAkey <az elozo parja> -days <hany napra>
[/code:1:fb85c56f0a]
Ezek utan persze az apache konfigban SSLCACertificateFile-nak a legelso lepesben generalt publikus kulcsot kell megadni.
Reszletesebb leirasert lasd a req es x509 manual page-eket.

[quote:46b239af55="lacika"]Egy kis folytatás :).
Két kérdésem lenne:
1: hogy tudom legenrálni az (gondolom az openssl parancs segítségével, csak a paraméterezést nem tudom) a klienseknek a tanusítványt?
2: hogy telepítem azt fel pl. Explorer vagy Firefoxra?

Előre is köszönöm a segítséget!

Ha nem akarsz az openssl összes ( végtelen :D ) kapcsolójával közelebbről megismerkedni akkor:
apt-get install tinyca
Nagyon hasznos (GUI-s) program !
A felhasználóknak pedig PKCS#12-es formában, egy állományban odaadhatod a kulcsaikat és a tanúsítványaikat is.

[quote:334838c0f9="1aca"]Eloszor is, a client cert-nek semmi koze a server cert-hez.. Elmeletileg lehet, de sok ertelme nincs.
En a kovetkezokeppen szoktam client cert-eket generalni:
Eloszor is kell egy root CA, amit arra fogok hasznalni, hogy a client cert-re rakjak egy signature-t
[code:1:334838c0f9]
openssl req -x509 -newkey ...
[/code:1:334838c0f9]
Utana generalok egy CSR (certificate signing request):
[code:1:334838c0f9]
openssl req -newkey ....
[/code:1:334838c0f9]
Es legvegul rapakolom a CA signature-t:
[code:1:334838c0f9]
openssl x509 -req -in <az elozo lepesnel generalt publikus key> -out ... -CA <a legelso lepesnel generalt publikus kulcs> -CAkey <az elozo parja> -days <hany napra>
[/code:1:334838c0f9]
Ezek utan persze az apache konfigban SSLCACertificateFile-nak a legelso lepesben generalt publikus kulcsot kell megadni.
Reszletesebb leirasert lasd a req es x509 manual page-eket.

Köszike!
Idézek egy részletet abbol a technikai dokumentációból, amiért csináljuk ezt az egészet.

The trading partner can purchase a digital certificate (e.g.: Organisation (Class C) Certificate Authority - CA) from a certificate authority such as Verisign or Geotrust.
Once the certificate is purchased, the trading partner sends its public key in a .p7b, .der or .cer format.

Akkor most lehet hogy én keverem nagyon a szezont a fazonnal sajnos. A jelek szerint nem igazán kell client cert, nem :(? Csak a publikus kulcs? Nagy fogalomzavarban vagyok még :(.. Akkor csak azt a publukis kulcsot kellene elküldenem, amit a privát kulcsból generálok, igaz? Hogy lesz abból p7b vagy der avagy cer formátumú?

[quote:3c5720a76d="lacika"]
Köszike!
Idézek egy részletet abbol a technikai dokumentációból, amiért csináljuk ezt az egészet.

The trading partner can purchase a digital certificate (e.g.: Organisation (Class C) Certificate Authority - CA) from a certificate authority such as Verisign or Geotrust.
Once the certificate is purchased, the trading partner sends its public key in a .p7b, .der or .cer format.

Akkor most lehet hogy én keverem nagyon a szezont a fazonnal sajnos. A jelek szerint nem igazán kell client cert, nem :(? Csak a publikus kulcs? Nagy fogalomzavarban vagyok még :(.. Akkor csak azt a publukis kulcsot kellene elküldenem, amit a privát kulcsból generálok, igaz? Hogy lesz abból p7b vagy der avagy cer formátumú?

Most akkor Neked vannak klienseid, vagy Te vagy a kliens ?

[quote:a82440cfc5="kasa"][quote:a82440cfc5="lacika"]
Köszike!
Idézek egy részletet abbol a technikai dokumentációból, amiért csináljuk ezt az egészet.

The trading partner can purchase a digital certificate (e.g.: Organisation (Class C) Certificate Authority - CA) from a certificate authority such as Verisign or Geotrust.
Once the certificate is purchased, the trading partner sends its public key in a .p7b, .der or .cer format.

Akkor most lehet hogy én keverem nagyon a szezont a fazonnal sajnos. A jelek szerint nem igazán kell client cert, nem :(? Csak a publikus kulcs? Nagy fogalomzavarban vagyok még :(.. Akkor csak azt a publukis kulcsot kellene elküldenem, amit a privát kulcsból generálok, igaz? Hogy lesz abból p7b vagy der avagy cer formátumú?

Most akkor Neked vannak klienseid, vagy Te vagy a kliens ?

Megpróbálom összefoglalni a dolgokat. Ez az egész egy on-line árumegrendelés, feldolgozás, visszaigazolás rendszerhez kell. Ha jól sejtem kliens is vagyok (mármint az apache szerver) és nekem is van kliensem (egy másik rendszer). A szerverre xml formában megérkezik egy PO (megrendelés), véleményem szerint ilyenkor aki küldi a POt az a kliens, és https -en keresztül küldi az xml -t. A szerverünk azt feldolgozza, továbbküldi a megrendelést a megfelelő helyre és legenerálja az ASN -t (visszaigazolást). Ezt a visszaigazolást nekünk https -en keresztül vissza kell küldeni annak a rendszernek, aki a megrendelést küldte. Jelen esetben én lennék a kliens. És mind a PO mind az ASN küldése fogadása certificate alapú hitelesítés után történne. Így érthető volt a dolog? Tehát akkor mi is kell nekem :)? A másik rendszer elküldte a certificate -ket melyek ahhoz szükségesek, hogy az ASN -t vissza tudjuk küldeni. Ők meg várnak tőlem egy publikus kulcsot p7b der vagy cer formátumban. Ezt hogy állítsam elő a meglévő privát kulcsomból, a csr -emből és a tenusítványomból?