Nowe posty

xx Dystrybucja pod HP Omen (6)
Wczoraj o 23:30:08
xx [Poradnik] Wyszukiwanie Sterowników (2)
Wczoraj o 21:08:23
lamp Problem z Linux Lite po instalacji (0)
Wczoraj o 19:50:30
xx Ile pingwinów? (1)
Wczoraj o 08:59:24
xx konfiguracja pale moon (0)
2024-03-24, 21:53:42
xx Plasma 6 w Neonie ssie trochę mniej ... (10)
2024-03-23, 02:38:11
xx problem z instalacja sterowników do karty sieciowej (3)
2024-03-18, 18:10:16
xx Plik abc.001 (1)
2024-03-17, 17:48:27
xx Zlecę dopracowanie programu w MatLab (0)
2024-03-13, 15:28:40
xx Linux Mint 21.3 XFCE brak dźwieku po paru minutach (karta muzyczna zintegrowana) (5)
2024-03-12, 23:07:01

Autor Wątek: problem z autoryzacją certyfikatu...  (Przeczytany 8184 razy)

fedorowiec

  • Gość
problem z autoryzacją certyfikatu...
« dnia: 2010-06-02, 17:57:59 »
Witam zwracam się do was z pomocą dotyczącą instalowania certyfikatów w openssl na fedorze12. Korzystam z pomocy tej strony: http://newbie.linux.pl/?id=article&show=169.
Certyfikaty które wygenerowałem od pczatku nie było z nimi problemów, problem miałem z ./demoCA/private/cakey.pem, tzn przy otwarciu certyfikatu cakey.pem za pomocą programu "Kleopatra" pokazuje mi ten komunikat:
An error occurred while trying to import the certificate /etc/ssl/private/cakey.pem:
a przykładowo przy otwaciu cecert.pem otwiera mi się bez problemu...W czym tu jest problem? Wszystko robiłem z tego linku co podałem, poszło bez problemu (chodzi mi o generowanie certyfikatów) ale przy tym:
- Tworzymy certyfikat dla instytucji certyfikującej,
którym to certyfikatem będzie można podpisywać certyfikaty dla witryn.
Wydaj polecenie: (będąc dalej w /usr/local/openssl/ssl/misc)

# ./CA.sh -newca

skrypt zapyta się o nazwę pliku, w którym ma utworzyć certyfikat
(kliknij - zostanie nadana domyślna nazwa)

następnie trzeba podać kilka danych, które będą zapisane w certyfikacie
(kod kraju, województwo, miasto, nazwę Twojej instytucji, e-maila i takie tam), no i hasło,

Po zakończeniu działania skryptu zostanie utworzony katalog ./demoCA
oraz kilka plików i podkatalogów.
Nas będą interesować tylko pliki:

./demoCA/cacert.pem - certyfikat naszej instytucji certyfikującej
./demoCA/private/cakey.pem - klucz prywatny powyższego certyfikatu
przy generowaniu:
./CA.sh -newca
poszło mi bez problemu ale po zakonczeniu utworzenia tego certyfikatu właśnie mam problem z cakey.pem(komunikat dostaję taki jak w.w. przy otwieraniu prze program Kleopatrę), a certyfikat cacert.pem otwiera mi się bez problemu...

P.S Przy generowaniu certyfikatów w polu COMMON NAME podaję nazwę swojej domeny(którą w pliku hosts mam skonfigurowaną)fajka.acme.com
Dlaczego mimo ze dobrze mi się wygenerowało certyfikat mam błąd przy otwieranieu "cakey.pem" przez "KLEOPATRĘ"??  Te certyfikaty służa mi do uwierzytenniania  mojej strony internetowej. POzdrawiam


P.S Na serverze mam już wygenerowane certyfikaty dla openvpn i tu mi wszystko działa. I tu(openvpn ssl) mam wygenerowany już klucz prywatny centrum CA. I  jak mam wygenerowane CA to przy uwierzytelnianiu apache+ssl też muszę ponownie wygenerować klucz prywatny centrum certyfikacji CA ?????No i ten błąd:
An error occurred while trying to import the certificate /etc/ssl/private/cakey.pem
-mimo ze wygenerowałem "./CA.sh -newca" dobrze, to po utworzeniu private/cakey.pem i cacert.pem , ten drugi certyfikat działa a pierwszy wykazuje bład pokazany wyzej.....Dlaczego? Pozdrawiam

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 3049
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
problem z autoryzacją certyfikatu...
« Odpowiedź #1 dnia: 2010-06-03, 17:10:16 »
cakey (jak nazwa wskazuje) jest kluczem prywatnym a nie certyfikatem.
Paweł Kraszewski
~Arch/Void/Gentoo/FreeBSD/OpenBSD/Specjalizowane customy

fedorowiec

  • Gość
problem z autoryzacją certyfikatu...
« Odpowiedź #2 dnia: 2010-06-03, 22:21:02 »
Cytat: pkraszewski
cakey (jak nazwa wskazuje) jest kluczem prywatnym a nie certyfikatem.
Sorki nie zauważyłem, tzn ze wszystko mam ok? Problem jest taki ze to nie certyfikat i dlatego mi błąd wyskakuje...

P.s A odnosnie drugiego pytanie, czy certyfikat CA muszę generować drugi raz dla servera apache??? (jak już mam wygenerowany dla openvpan). Pozdrawiam

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 3049
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
problem z autoryzacją certyfikatu...
« Odpowiedź #3 dnia: 2010-06-04, 07:26:27 »
Nie. Generujesz jedno CA i podpisujesz nim certyfikaty do dowolnych usług (każda ma swoje właściwe CN). Generalnie, jak kilka usług SSL-owych siedzi pod jednym adresem DNS (apache, poczta, jabber, whatever - ważny jest ten sam DNS=CN), to wszystkie możesz oblecieć jednym certyfikatem.
Paweł Kraszewski
~Arch/Void/Gentoo/FreeBSD/OpenBSD/Specjalizowane customy

fedorowiec

  • Gość
problem z autoryzacją certyfikatu...
« Odpowiedź #4 dnia: 2010-06-04, 10:18:53 »
O to mi chodziło....a co z kluczami, i certyfikatami do użytkowników...jak kilka usług SSL-owych siedzi pod jednym adresem DNS (apache, poczta, jabber, whatever? Jak się domyślam to do każdego użytkownika musze wygenerować certyfikat i klucz(tj. jak mam 5 kompów w sieci to do każdego kompa(użytkownika) musze wygenerować certyfikat i klucz jak się domyślam.....?? To byłoby chyba wszystko.

I czy jak mam teraz na serverze zainstalowany openvpn z CA i certyfikatami i teraz próbuję apache+ssl wygenerowałem CA i klucze do tego, ale wyskakują mi błedy w pliku httpd.conf tzn. po wpisaniu na koncu:
DocumentRoot /var/www/html
  ServerName  www.fajka.acme.com
  ServerAlias www.fajka.acme.com
   Redirect / https://www.fajka.acme.com:80
#włączenie obslugi ssl
SSLEngine on
SSLEngine on nie startuje mi apache, mam "FAILED" (bez żadnych błędów). Jeśli usunę wpis SSLEngine to apache startuje mi bez problemu!!! Czy wina może być tego że do apache wygenerowałem CA i pod openvpn tez mam wygenerowany CA?????? Pozdrawiam

P.S Skonfigurowałem plik httpd.conf podałem scieżki do certyfikatów, ale przy restarcie httpd dostaję: FAILED a  w pliku error_log mam nastepujący wpis:
[Sat Jun 05 11:50:13 2010] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[Sat Jun 05 11:50:13 2010] [error] Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] (/etc/httpd/conf/httpd.conf:1001)
Wpisałem ten wpis w google, poszperałem trochę, ale nic nie rozwiązało mojego problemu z tym komunikatem....