Fórum Root.cz
Hlavní témata => Server => Téma založeno: mario311 28. 04. 2015, 20:42:46
-
Cawte,
ako stiahnem z web stránky SSL certifikát aj s privátnym klúčom vo formáte .pem...
Ďakujem.
-
Privátní klíč jen tak nestáhneš, proto je privátní. Právě vlastnictví soukromého klíče umožňuje používat certifikát a zabraňuje tomu, aby ho kdokoliv použil místo původního serveru.
Ovšem certifkát stáhneš snadno, variant je víc:
$ gnutls-cli --print-cert www.example.com
$ openssl s_client -showcerts -connect www.example.com:443
Certifikát je to mezi -----BEGIN CERTIFICATE----- a -----END CERTIFICATE-----
-
Ovšem certifkát stáhneš snadno, variant je víc:
Případně ve webovém prohlížeči kliknout na ikonu zabezpečení před URL pravým tlačítkem a proklikat se k němu. Ovšem pozor na to, že tam budete mít i certifikáty z úložiště prohlížeče (nebo operačního systému), takže tam nepoznáte, které certifikáty z certifikační cesty posílá server a které už jsou vaše.
-
No lenže ja mám webstránku, na hostname ktorý mi na net pridelil teda chello(nejaké čisla).chello.sk a ja si potrebujem ten ceritifkát stiahnúť z chello.sk aby ostatným (5 ludia) šla moja stránka bez toho aby ich to upozorňovalo že je to nebezpečné pripojenie... A neni to viazané na hostname takže sa to aj tak nedá zneužiť ??? A určite musí na to byť nejaká obchádzka alebo ako neda sa nejako to zfixlovať ?
-
snažil som sa si certifikát zaobstarať aj na StratSSL ale nepodporuje sub domény čo som...
-
A určite musí na to byť nejaká obchádzka alebo ako neda sa nejako to zfixlovať ?
Krátká odpověď: nedá, protože pak by nemělo šifrování smysl.
Dlouhá odpověď: Chello ti určitě nedá privátní klíč ke svému hvězdičkovému certifikátu, to by ses pak mohl vydávat za kohokoliv včetně www.chello.sk třeba. Potřebuješ vlastní doménu, kterou namíříš na svou IP adresu. Na tu doménu ti pak autorita (včetně StartSSL) vystaví certifikát.
-
aby ostatným (5 ludia) šla moja stránka bez toho aby ich to upozorňovalo že je to nebezpečné pripojenie
Na to nepotřebujete privátní klíč. Prostě těm lidem dejte ten certifikát, ať si ho nainstalují mezi důvěryhodné. A nebo ať si ho nainstalují, kdyžna ten web poprvé přijdou.
A neni to viazané na hostname takže sa to aj tak nedá zneužiť ???
Pokud v tom certifikátu nesedí hostname, podle mne nepomůže, když si ho nainstalují, prohlížeč by měl protestovat stejně. Ale pokud už si mají uživatelé instalovat certifikát, můžete si vytvořit vlastní, který bude mít správné jméno.
A určite musí na to byť nejaká obchádzka
Ne, určitě to nijak obejít nejde. To by pak certifikáty neměly vůbec žádný smysl, protože by to útočník prostě "nějak obešel".
-
No mohol by som na miesto svojej chello(čísla).chello.sk dať vystaviť StartSSL na chello.sk ale obávam sa čo to nieje nelegálne...
-
Tak by som sa rád spýtal čo to je legálne alebo nelegálne ?
-
No mohol by som na miesto svojej chello(čísla).chello.sk dať vystaviť StartSSL na chello.sk ale obávam sa čo to nieje nelegálne...
Hlavně by vám to nemělo projít u StartSSL, pokud jsou jejich postupy pro vydávání certifikátů aspoň trochu rozumné. A myslím, že jsou - musel byste umět vystavit soubor na web chello.sk, nebo umět modifikovat doménové záznamy, nebo mít přístup k e-mailové schránce některé speciální e-mailové adresy pro doménu chello.sk.
-
To není možné, na cizí doménu ti nikdo důvěryhodný certifikát nevystaví. To bys mohl chtít certifikát na Google.com a vydávat se za něj.
Tu doménu musíš mít v držení ty a musíš na ní být minimálně schopen přijmout ověřovací mail. Navíc ty nepotřebuješ certifikát na chello.sk, ale na nějakou speciální subdoménu. Vykašli se na chello.sk a pořiď si za pár eur ročně vlastní doménu.
-
No a tá doména by mohla fungovať na tú ip adresu čo mám od poskitovatela internetu chello (UPC) ?
-
Ano. Záznam typu A bude mířit na tvou IP adresu. Pak ještě potřebuješ MX záznam pro mail server, který bude schopen přijímat poštu. To může dělat stejný stroj nebo úplně jiný. Dokumentace je k tomu na internetu hromada.
-
Pak ještě potřebuješ MX záznam pro mail server, který bude schopen přijímat poštu.
Pro validaci domény není potřeba, doménu je možné validovat i přes e-mail, který je uveden u domény (vlastník nebo technický kontakt).
-
U StartSSL ne. Ti chtějí doručit mail na postmaster@, hostmaster@ nebo webmaster@. Jinde to samozřejmě může být jinak.
-
U StartSSL ne. Ti chtějí doručit mail na postmaster@, hostmaster@ nebo webmaster@. Jinde to samozřejmě může být jinak.
Mně kromě těchhle e-mailů StartSSL nabízí ještě e-maily uvedené jako registrant e-mail, admin e-mail a tech e-mail - alespoň u domény z TLD org. Možná je to u jiných TLD jinak.
-
Aha, toho jsem si nevšiml, já jsem generoval vždycky jen pro .cz. Ale asi za měsíc mě čeká obnova na některých serverech, takže si na to dám pozor.
-
Btw Symantec např. nabízí kontakt majitele domény, 5 aliasů (admin, postmaster, atd.), DNS záznam a soubor nakraný přes FTP.
Necheš nám napsat, čeho chceš (s certifikátem) dosáhnout? Já to z vlákna nepochopil.
-
aby ostatným (5 ludia) šla moja stránka bez toho aby ich to upozorňovalo že je to nebezpečné pripojenie
Pokial je to pre 5 ludi, tak si vygeneruj vlastnu CA, s nou podpis certifikat a tu tvoju CA nech si naimportuju medzi doveryhodne. A prestane sa im zobrazovat hlasenie.