SSL
Bostjan Mercun
bostjan at impresija.com
Wed Oct 16 01:43:01 CEST 2002
Zivjo
Neko stran bi imel rad zavarovano s SSL protokolom, vendar mi ne uspe.
Gledal sem dokumentacijo na openssl.org, modssl.org in
SSL-Certificates-HOWTO. Prisel sem do tega, da imam zgenerirane
certifikate, SSL server je pognan, vendar ne dobim nicesar nazaj. HTTP
protokol (port 80) dela tako, kot je treba. Ce poizkusim z openssl
s_client ... ukazom rece, da certifikata ni mogel preveriti. Certifikate
sem naredil sam, ker bi jih uporabljal samo za to stran. Prav tako jih
nisem dal nikomur za podpisat (CA)
Naj me prosim kdo popravi, ce sem sploh zgresil bistvo vsega. Sodec po
dokumentaciji je treba:
-najprej zgenerirat kljuc/certifikat, ki bo sluzil za CA. Naredit je
treba .pem za privaten in .crt za javen kljuc.
-zgenerirat nove kljuce, ki jih bodo uporabljali browserji. Vsakega
podpisem s tem, ki sem ga naredil za CA.
-v HOWTO-ju priporoca uporabo novega certifikata za aplikacije, ne
tistega za CA. Torej naredim se enega, ga podpisem. Naredim .crt za
javni in .pem za privatni kljuc.
-Vsakic naredim tudi crl datoteko po navodilih, prav tako se popravita
index.txt in serial/s datoteka. Tudi ze narejene certifikate lahko
vidim, vsi imajo V (valid) spredaj.
Tukaj se pojavi prva tezava. Tisti .crt certifikat, ki sem ga zgeneriral
za CA mi browser prepozna in ga da pri instalaciji v Trusted Root CA.
Tega novega (ki naj bi ga uporabil v apache-ju) pa ne in ga sploh noce
instalirat. Rece, da je import uspel, certifikata pa ni nikjer.
Druga stvar, ki me zanima je, ali ni browser sposoben izdelati kljuca po
potrebi. Kolikor vem, se da tudi to. Ce je to res, bi mi moral browser
odpreti stran kljub temu, da se nisem prenesel narejenega certifikata k
sebi (na strezniku nimam nikakrsne avtorizacije ali cesa podobnega).
Seveda pod pogojem, da je streznik prav nastavljen, kar tudi se
preverjam.
Poizkusil sem ze zamenjat .pem, ali .crt datoteke s tistimi za CA,
ampak morata biti iz istega requesta (kar je sicer logicno).
Kolikor sem bral, streznik certifikate prepozna po tem, da so vsi
podpisani z istim CA certifikatom? Dolocil sem jim sicer tudi mesto,
organizacijo.. itd, ampak to se da verjetno tudi ponaredit. Na podlagi
tega podpisa bom lahko kasneje prepoznal userje z "mojimi" certifikati.
Ali to drzi?
Cedalje bolj verjetno se mi zdi, da sem zgresil ze princip delovanja...
Mi zna kdo pomagat? Logov na strezniku v bistvu ni. Kot da dostopa ne
zazna. Lahko dobim edino tistega z openssl s_client.
Hvala
lp
Bostjan
More information about the lugos-list
mailing list