586
Software / Re:Certifikáty Let's Encrypt nefungují na Androidu
« kdy: 10. 07. 2018, 18:28:05 »
O, dakujem vsetkym zucasnenym za cenne rady a podporu
Zobrazit příspěvky
Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.
587
Software / Re:Certifikáty Let's Encrypt nefungují na Androidu
« kdy: 10. 07. 2018, 14:13:52 »
No ale ja mam ku kazdemu virtualhostu zvlast konfigurak
napr.
napr.
Kód: [Vybrat]
/etc/apache2/sites-available/www.moj_web.com.conf
/etc/apache2/sites-available/www.moj_web1.com.conf
/etc/apache2/sites-available/www.moj_web2.com.conf588
Software / Re:Certifikáty Let's Encrypt nefungují na Androidu
« kdy: 10. 07. 2018, 11:42:11 »
Aha, takze bez parametru servername to vybere vzdy prvy virtualhost podla abecedy.
Avsak klientovi (web prehliadacu), apache poskytne vzdy spravny certifikat (neviem to overit na androide (ale to nevadi)).
Avsak klientovi (web prehliadacu), apache poskytne vzdy spravny certifikat (neviem to overit na androide (ale to nevadi)).
589
Software / Re:problem s letsencrypt na androide
« kdy: 10. 07. 2018, 08:39:07 »Pridal som tam vsetky certifikatyA to vám Apache takhle vezme? A jste si jist, že si to přebere správně? Proč to zbytečně komplikujete a nedáte tam přesně tu konfiguraci, kterou jsem vám napsal? Případně variantu, kterou napsal ByCzech – pokud jsou certifikáty v fullchain.pem správně seřazené.Kód: [Vybrat]a stejne to pise, ze certifikat pochadza z nedoverihodnej autoritySSLCertificateKeyFile /etc/letsencrypt/live/web/privkey.pem
SSLCertificateFile /etc/letsencrypt/live/web/cert.pem
SSLCertificateChainFile /etc/letsencrypt/live/web/chain.pem
SSLCertificateChainFile /etc/letsencrypt/live/web/fullchain.pem
Jaké certifikáty vám server vrací si můžete ověřit pomocí openssl s_client. Např.:Kód: [Vybrat]Důležitá je ta část pod Certificate chain. Musí tam být dva certifikáty, 0 bude certifikát vašeho serveru (místo root.cz), 1 bude to samé, co je v tomto výpisu, protože root.cz také používá Let's Encrypt.% openssl s_client -connect root.cz:443
CONNECTED(00000003)
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify return:1
depth=0 CN = root.cz
verify return:1
---
Certificate chain
0 s:/CN=root.cz
i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---
Server certificate
-----BEGIN CERTIFICATE-----
[…]
Zdravim, takze mam nejake nove zistenia. Neviem z akeho dovodu, ale zacalo mi to fungovat. Ked som to overoval cez openssl klienta, tak uz to mam podobne ako vy: je tam aj certifikat 0 a aj 1
Kód: [Vybrat]
Certificate chain
0 s:/CN=moj_web.com
i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
i:/O=Digital Signature Trust Co./CN=DST Root CA X3
Ja mam momentalne 3x virtualhost a 3x som generoval certifikaty pre kazdy virtualhost. Generovanie skoncilo vzdy vystupom "congratulations". Samozrejme vzdy bol vygenerovany jedinecny certrtifikat do konkretneho adresara (takze tam chyba nie je).
Tento vystup popisuje jeden certifikat. Druhy bol vygenerovany do, /etc/letsencrypt/live/moj_web1.com atd .....
Kód: [Vybrat]
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/moj_web.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/moj_web.com/privkey.pem
Your cert will expire on 2018-09-26. To obtain a new or tweaked
version of this certificate in the future, simply run
letsencrypt-auto again. To non-interactively renew *all* of your
certificates, run "letsencrypt-auto renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-leKód: [Vybrat]
openssl s_client -connect moj_web.com:443
openssl s_client -connect moj_web1.com:443
openssl s_client -connect moj_web2.com:443Kód: [Vybrat]
Certificate chain
0 s:/CN=moj_web.com
i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
i:/O=Digital Signature Trust Co./CN=DST Root CA X3
....
...590
Software / Re:problem s letsencrypt na androide
« kdy: 06. 07. 2018, 21:45:42 »Ten serverový certifikát máte vystavený pro obě domény (bez www i s www)? Zkontrolujte ještě pomocí openssl x509 (příklad jsem uváděl), jestli v tom /etc/letsencrypt/live/moj_web.com/chain.pem je správný certifikát Let's Encrypt. Žádnou jinou možnou chybu tam nevidím.Ano aj pre www aj bez www vid. https://forum.root.cz/index.php?topic=18939.msg273085#msg273085
Když to testujete (z Androidu nebo tím OpenSSL), jste si jistý, že se připojujete na tenhle server?
Toto
Kód: [Vybrat]
openssl x509 -text -noout -in /etc/letsencrypt/live/web/cert.pem
openssl x509 -text -noout -in /etc/letsencrypt/live/web/chain.pemRozhodne sa pripojujem na vhost s ktorym to testujem.
Ještě mě napadlo co jsem řešil na jiném serveru... mod_ssl nebyl s podporou SNI, apache pak vracel výchozí pro všechny virtuály - vyřešil jsem to náhradou za mod_gnutls, pak je konfigurace takto:Toto naozaj neviem ci je s podporou SNI, alebo nie.Kód: [Vybrat]GnuTLSEnable on
GnuTLSPriorities NORMAL
GnuTLSCertificateFile /path-to/fullchain-cert.pem
GnuTLSKeyFile /path-to/key.pem
PS 2 dni budem off, takze sa s tym nemozem hrat
591
Software / Re:problem s letsencrypt na androide
« kdy: 06. 07. 2018, 19:53:58 »
Uz ma napadlo aj to, ze som si zmylil vhost, ale nie.
Moja konfiguracia vhostu je taka (tvorili sme ju spolu na fore).
Config vhostu vyzera takto (domena je vymyslena aj adresar s certifikatmi je iny ako som uvadzal vyssie).
Moja konfiguracia vhostu je taka (tvorili sme ju spolu na fore).
Config vhostu vyzera takto (domena je vymyslena aj adresar s certifikatmi je iny ako som uvadzal vyssie).
Kód: [Vybrat]
<VirtualHost *:80>
DocumentRoot /var/www/www.moj_web.com
ServerName moj_web.com
ServerAlias www.moj_web.com
ServerAdmin webmaster@moj_web.com
RewriteEngine on
RewriteCond %{HTTP_HOST} ^moj_web\.com$ [NC]
RewriteRule ^(.*)$ http://www.moj_web.com$1 [R=301,NE,L]
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L,NE]
</VirtualHost>
<VirtualHost *:443>
DocumentRoot /var/www/www.moj_web.com
ServerName moj_web.com
ServerAlias www.moj_web.com
ServerAdmin webmaster@moj_web.com
<IfModule mod_ssl.c>
SSLEngine on
SSLCertificateKeyFile /etc/letsencrypt/live/moj_web.com/privkey.pem
SSLCertificateFile /etc/letsencrypt/live/moj_web.com/cert.pem
SSLCertificateChainFile /etc/letsencrypt/live/moj_web.com/chain.pem
# SSLCertificateChainFile /etc/letsencrypt/live/moj_web.com/fullchain.pem
</IfModule>
RewriteEngine on
RewriteCond %{HTTP_HOST} ^moj_web\.com$ [NC]
RewriteRule ^(.*)$ https://www.moj_web.com$1 [R=301,NE,L]
</VirtualHost>592
Software / Re:problem s letsencrypt na androide
« kdy: 06. 07. 2018, 15:12:26 »
V kazdom *.pem subore mam len jeden certifikat
1. obsah cert.pem
2. obsah chain.pem.
Cize ak tomu spravne chapem, tak v apache vhost configu pouzijem vzdy privkey.pem (to je tajny kluc, ktory sa nesmie nikdy dostat nikomu do ruk).
A nasledne pouzijem fullchain.pem (alebo na miesto neho, chain.pem a cert.pem).
Takze by to malo byt jedno ci v configu pouzijem
Skusim este pozriet log z apache.
Co sa tyka certifikatov (ci k sebe sedia alebo nie) to ja asi ovplivnit neviem, spolieham sa na vygenerovane certifikaty letsencryptom
Kód: [Vybrat]
-----BEGIN CERTIFICATE----- […] -----END CERTIFICATE-----1. obsah cert.pem
2. obsah chain.pem.
Cize ak tomu spravne chapem, tak v apache vhost configu pouzijem vzdy privkey.pem (to je tajny kluc, ktory sa nesmie nikdy dostat nikomu do ruk).
A nasledne pouzijem fullchain.pem (alebo na miesto neho, chain.pem a cert.pem).
Takze by to malo byt jedno ci v configu pouzijem
Kód: [Vybrat]
privkey.pem
fullchain.pemKód: [Vybrat]
privkey.pem
chain.pem
cert.pemSkusim este pozriet log z apache.
Co sa tyka certifikatov (ci k sebe sedia alebo nie) to ja asi ovplivnit neviem, spolieham sa na vygenerovane certifikaty letsencryptom
593
Software / Re:problem s letsencrypt na androide
« kdy: 06. 07. 2018, 14:15:39 »Ved presne tak som to spravil ako uvadzate.Pridal som tam vsetky certifikatyA to vám Apache takhle vezme? A jste si jist, že si to přebere správně? Proč to zbytečně komplikujete a nedáte tam přesně tu konfiguraci, kterou jsem vám napsal? Případně variantu, kterou napsal ByCzech – pokud jsou certifikáty v fullchain.pem správně seřazené.Kód: [Vybrat]a stejne to pise, ze certifikat pochadza z nedoverihodnej autoritySSLCertificateKeyFile /etc/letsencrypt/live/web/privkey.pem
SSLCertificateFile /etc/letsencrypt/live/web/cert.pem
SSLCertificateChainFile /etc/letsencrypt/live/web/chain.pem
SSLCertificateChainFile /etc/letsencrypt/live/web/fullchain.pem
Jaké certifikáty vám server vrací si můžete ověřit pomocí openssl s_client. Např.:Kód: [Vybrat]Důležitá je ta část pod Certificate chain. Musí tam být dva certifikáty, 0 bude certifikát vašeho serveru (místo root.cz), 1 bude to samé, co je v tomto výpisu, protože root.cz také používá Let's Encrypt.% openssl s_client -connect root.cz:443
CONNECTED(00000003)
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify return:1
depth=0 CN = root.cz
verify return:1
---
Certificate chain
0 s:/CN=root.cz
i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---
Server certificate
-----BEGIN CERTIFICATE-----
[…]
Skusil som
Kód: [Vybrat]
SSLCertificateKeyFile /etc/letsencrypt/live/web/privkey.pem
SSLCertificateFile /etc/letsencrypt/live/web/cert.pem
SSLCertificateChainFile /etc/letsencrypt/live/web/chain.pemKód: [Vybrat]
SSLCertificateKeyFile /etc/letsencrypt/live/web/privkey.pem
SSLCertificateFile /etc/letsencrypt/live/web/fullchain.pemCo sa tyka overenia, tak mam tam len 0 (1 nie)
Kód: [Vybrat]
CONNECTED(00000003)
depth=0 CN = moj_web.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = moj_web.com
verify error:num=27:certificate not trusted
verify return:1
depth=0 CN = moj_web.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/CN=moj_web.com
i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
---
594
Software / Re:problem s letsencrypt na androide
« kdy: 06. 07. 2018, 13:38:27 »Zkus to takhle:V SSLCertificateFile mam len to co mi vygeneroval a poslal letsencryptKód: [Vybrat]SSLCertificateKeyFile /etc/letsencrypt/live/web/privkey.pem
SSLCertificateFile /etc/letsencrypt/live/web/fullchain.pem
Nic jiného, jen takto. A pozor na to co máš v SSLCertificateFile!
Nefunguje to ani s privkey.pem a fullchain.pem (na desktope mam mint 17 a v opere, mozille a chrome funguje vsetko bez problemov).
Ano vid. obr https://imgur.com/a/rMCkQSO dole som to dal do cerveneho ramcekaTen test som vcera spravil ... dostal som hodnotenie B.A nahlásilo ti to nějaké chain issues?
595
Software / Re:problem s letsencrypt na androide
« kdy: 06. 07. 2018, 08:59:31 »
Pridal som tam vsetky certifikaty
Kód: [Vybrat]
SSLCertificateKeyFile /etc/letsencrypt/live/web/privkey.pem
SSLCertificateFile /etc/letsencrypt/live/web/cert.pem
SSLCertificateChainFile /etc/letsencrypt/live/web/chain.pem
SSLCertificateChainFile /etc/letsencrypt/live/web/fullchain.pem596
Software / Re:problem s letsencrypt na androide
« kdy: 06. 07. 2018, 07:29:54 »Jestli to chápu správně, tak jste upravoval PEM soubor, ve kterém není certifikát, ale privátní klíč. Webserver ale klientovi (prohlížeči) posílá certifikát(y), ne privátní klíče, takže mezilehlé certifikáty musíte přibalit k certifikátu (často soubor s příponou .crt).V adresary
Kód: [Vybrat]
/etc/letsencrypt/live/web/Kód: [Vybrat]
cert.pem
chain.pem
fullchain.pem
privkey.pemKód: [Vybrat]
./letsencrypt-auto certonly --webroot -w /var/www/web -d moj-web.com -d www.moj-web.comKód: [Vybrat]
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/web/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/web/privkey.pem
Your cert will expire on 2018-08-31. To obtain a new or tweaked
version of this certificate in the future, simply run
letsencrypt-auto again. To non-interactively renew *all* of your
certificates, run "letsencrypt-auto renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-leKód: [Vybrat]
/etc/apache2/sites-available/web.confKód: [Vybrat]
SSLCertificateKeyFile /etc/letsencrypt/live/web/fullchain.pemKód: [Vybrat]
SSLCertificateFile /etc/letsencrypt/live/web/fullchain.pemKdyž je tak tajné, jaký web to je, asi si budeš muset vystačit sám. Mohlo by pomoct https://www.ssllabs.com/ssltest/.Web tu nechcem uvadzat, pretoze je to urceny len pre urcity okruh ludi a nechcem ho zverejnovat. Ten test som vcera spravil ... dostal som hodnotenie B.
Priznam sa, ze neviem velmi dobre po anglicky, ale test mal vystupy vacsinou v zelenych, resp. oranzovych cislach. Jedine cervenym bolo v sekcii Configuration - Handshake Simulation
Kód: [Vybrat]
IE 8 / XP No FS 1 No SNI 2 Server sent fatal alert: handshake_failure598
Software / Re:problem s letsencrypt na androide
« kdy: 05. 07. 2018, 12:28:17 »S Androidem jsem měl přesně stejný problém a stačilo právě přibalit mezilehlý certifikát Let's Encrypt k certifikátu pro danou doménu, čímž již byla známá cesta až k (důvěryhodnému) kořeni.Ako přibalit mezilehlý certifikát Let's Encrypt k certifikátu pro danou doménu
599
Software / Certifikáty Let's Encrypt nefungují na Androidu
« kdy: 05. 07. 2018, 08:22:04 »
Mam nejake weby s certifikatmi od letsencrypt. Vacsinou nemam problem nikde, ale ked chcem web prehliadat na android 6.0.1, tak stale hlasi
Kód: [Vybrat]
Vyskytli sa problemy s bezpecnostnym certifikatomKód: [Vybrat]
Certifikat nepochadza z doverihodnej autority600
Distribuce / Re:aky pouzivate system na web
« kdy: 01. 07. 2018, 20:46:23 »
Zabudol som napisat na com to ide ...
Asrock s CPU j1900 a 8GB RAM + 120GB SSD a 3TB disk na data. V dome lacny hlupy gigabit switch a router RB 450.
Linka bohuzial VDSL 30/5 ale aspon verejna a staticka IPv4 (zadara)
Nie som do networkingu, serveringu, cloudingu, nejaky fachman (mam to len ako zabavu) ale chcem sa opytat ako sa riesi pozicia serverov.
Mam tym na mysli DMZ. Ja to napr. nemam v DMZ. Mam to v LAN a na routery robim forwarding na konkretnu IP adresu v KVM ci LXC a snazim sa nastavit firewall cez iptables.
Asrock s CPU j1900 a 8GB RAM + 120GB SSD a 3TB disk na data. V dome lacny hlupy gigabit switch a router RB 450.
Linka bohuzial VDSL 30/5 ale aspon verejna a staticka IPv4 (zadara)
Nie som do networkingu, serveringu, cloudingu, nejaky fachman (mam to len ako zabavu) ale chcem sa opytat ako sa riesi pozicia serverov.
Mam tym na mysli DMZ. Ja to napr. nemam v DMZ. Mam to v LAN a na routery robim forwarding na konkretnu IP adresu v KVM ci LXC a snazim sa nastavit firewall cez iptables.
