Fórum Root.cz
Hlavní témata => Server => Téma založeno: Deny 07. 04. 2018, 21:31:10
-
Ahoj všichni, vygeneruji si vlastní certifikát, sám si ho podepíšu a naimportuji ho do prohlížeče. Bude taková komunikace opravdu šifrovaná a zabezpečená? Děkuji.
-
Ahoj všichni, vygeneruji si vlastní certifikát, sám si ho podepíšu a naimportuji ho do prohlížeče. Bude taková komunikace opravdu šifrovaná a zabezpečená? Děkuji.
Ahoj,
hodne obecny dotaz, ktery nerika k cemu konkretne.
Udelat si vlastni PKI (certifikacni autoritu, vlastni certifikaty) je dobre. Mas pod kontrolou vlastni retezec na ktere stavis duveryhodnost. Nicmene v zavislosti na co vse to chces pouzit to nese dalsi naroky na konfiguraci a distribuci.
Zkus to vice konkretizovat.
U sebe pouziam vlastni certifikaty pro Wifi - EAP-TLS
-
Bude, když ti od toho někdo neukradne klíče. Certifikát, který označíš za důvěryhodný, bude prohlížeč vidět stejně jako certifikát, který bys dostal od nějaké autority (třeba Let's Encrypt).
Ale vzhledem k tomu, že se na to ptáš, doporučuju studium literatury, než něco vypustíš do internetu :)
-
Specifikuj "use case" tzn jak to chces pouzit.
-
Chci to použít na webovém serveru pro prohlížení webových stránek.
-
Tak jak to popisujes, bude.
-
Jen takova technicka i pokud je certifikat neduveryhodny, tak je komunikace sifrovana. Dokonce i kdyz je propadly/revokovany a pokracujes pres varovani, je komunikace sifrovana. To ze ji pripadne muze nekdo desifrovat/presmerovat/atp. je vec druha.
-
A ví někdo jak vygenerovat certifikát pro všechny subdomény od Let's Encrypt? Prosím, jsem začátečník, tak mě neposílejte na stránky v angličtině, díky.
-
A ví někdo jak vygenerovat certifikát pro všechny subdomény od Let's Encrypt? Prosím, jsem začátečník, tak mě neposílejte na stránky v angličtině, díky.
Vsak se tu o tom psalo v tvem rodnem jazyce - https://www.root.cz/clanky/let-s-encrypt-spousti-podporu-zolikovych-certifikatu/
-
A kde ten soubor acme.sh stáhnu?
-
A kde ten soubor acme.sh stáhnu?
Vzdyt odkazy jsou v tom clanku...
https://github.com/Neilpang/acme.sh
-
Díky, to jsem ale taky našel, to neexistuje oficiální způsob jak ten certifikát vytvořit? To musím použít nějaký script který slepil někdo na koleně v garáží a navíc funguje jen u pár distribucí?
BTW: teď se dívám, to jako budu muset každé 3 měsíce upravovat DNS záznamy u každé domény?
-
Prosimtě, a nechceš ještě abysme ti šli utřít (_!_) ? ::) :o
-
Díky, to jsem ale taky našel, to neexistuje oficiální způsob jak ten certifikát vytvořit? To musím použít nějaký script který slepil někdo na koleně v garáží a navíc funguje jen u pár distribucí?
BTW: teď se dívám, to jako budu muset každé 3 měsíce upravovat DNS záznamy u každé domény?
V clanku je uvedeno jasne, ze Acme byl mezi prvnima.
Pocet klientu a moznosti se rozrostl https://letsencrypt.org/docs/client-options/#acme-v2-compatible-clients
Postup pro Linux/Unix/BSD a NGIX/Apache...
https://certbot.eff.org/
Windows IIS:
https://certifytheweb.com/
atd.
Pokud poskytovatel ma API pro DNS a klient pro letsnecrypt jej podporuje pak se to deje automaticky.
nebo
"Utilita si poradí i se situací, kdy DNS záznamy pro doménové jméno, pro které je potřeba získat certifikát, není možné nebo žádoucí spravovat automatizovaně. Režim zvaný DNS alias funguje tak, že subdomény _acme-challenge doménových jmen, pro které chceme získat certifikáty, trvale přesměrujeme pomocí CNAME záznamů do jiné, dynamicky spravované domény. Klient acme.sh při ověřování upravuje záznamy pouze v této vedlejší doméně, do které je autorita při ověřování přesměrována právě CNAME aliasem."
Vse je v clanku a celkem prehledne. Nevim jak vice pomoci...
-
OK, vidím, že to je pouze pro lidi kteří pracují s linuxem 100 let, nic pro normálního smrtelníka. :-\
-
OK, vidím, že to je pouze pro lidi kteří pracují s linuxem 100 let, nic pro normálního smrtelníka. :-\
Hele, dostal jsi odpovedi na otazky a rekl bych, ze dane postupy jsou docela dobre napsane i pro smrtelnika, ktery s Linux zacina. Navic to neni vazane jen na Linux, existuji windows klienti, php clienti ale i webove sluzby kde probehne vygenerovani a stazeni.
btw:
Moc nerozumim tomu proc jsi zadal dotaz. Chces provozovat webserver coz samo o sobe vyzaduje urcite znalosti. Nicmene s jednoduchymi postupy, ktere jsou opravdu sepsany step-by-step nebot letsencrypt se snazi to co nejvice usnadnit pro co nejsirsi skupinu lidi si neporadis ????
-
Díky, to jsem ale taky našel, to neexistuje oficiální způsob jak ten certifikát vytvořit? To musím použít nějaký script který slepil někdo na koleně v garáží a navíc funguje jen u pár distribucí?
BTW: teď se dívám, to jako budu muset každé 3 měsíce upravovat DNS záznamy u každé domény?
Vlastni certifikacni autorita vyzaduje urcitou miru znalosti. Rizeni motoroveho vozidla vyzaduje taky urcitou miru znalosti. Pokud je nemas, muzes se zeptat a nekdo te navede k nalezeni pozadovanych informaci, ale pak je to proste samostudium. Asi ti nikdo nenapise jake mas napsat prikazy, jake mas zadat parametry u certifikatu atd. Pokud nemas schopnost neco studovat, nemas schopnost provozovat ani certifikacni autoritu, nebo spravovat certifikaty obecne, protoze treba maji nejaky lifecycle a za nejakou dobu budes resit obnovu atd.