SSL ca-bundle

0

2

Третьего дня разжился «оффициальным» SSL-сертификатом.
Прислали два файла STAR_example_com.crt и файла STAR_example_com.ca-bundle
Апач, как указано, этот самый ca-bundle жрёт за милую душу.
А как насчёт nginx'a? А почтовичка postfix+dovecot?
Или распаковать его? Но какой из 2х ключей в .ca-bundle корневой провайдерский а какой мой?

Прошу помощи, буду благодарен за поясняющие ссылки.

Ссылка

←	балансировка нагрузки nginx

OVH.ie трабла. Хелп. Плиз

→

А как насчёт nginx'a?

server {
            	listen       443;
                server_name  blabla.com;

                ssl                             on;
                ssl_certificate                   file.crt;
                ssl_certificate_key		file.key;
                ssl_client_certificate        SSL_CA_Bundle.pem;

dada ★★★★★
(25.12.14 16:52:26 MSK)

Но какой из 2х ключей в .ca-bundle корневой провайдерский а какой мой?

Там не должно быть твоего. Там должна быть цепочка от CA, выдавшего тебе сертификат до Root CA. Nginx'у надо слить оба файла в один, емнип. В смысле, все сертификаты в один файл, приватный ключ - в другой файл. Про почтарь не скажу.
См. оф. маны, в общем.

thesis ★★★★★
(25.12.14 16:59:13 MSK)

Ответ на: комментарий от dada 25.12.14 16:52:26 MSK

ssl_client_certificate

«Specifies a file with trusted CA certificates in the PEM format _ used to verify client certificates _ and OCSP responses if ssl_stapling is enabled» (с)

Что-то ты не то пишешь.

thesis ★★★★★
(25.12.14 17:01:38 MSK)
Последнее исправление: thesis 25.12.14 17:01:58 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от thesis 25.12.14 16:59:13 MSK

Тогда всё совсем странно, т.к. key-файла у меня НЕТ.
Прислали только архив с этими двумя.
COMODO

Yustas ★★★★
(25.12.14 17:04:53 MSK) автор топика

Ответ на: комментарий от Yustas 25.12.14 17:04:53 MSK

Ключ и сертификат в одном и том же файле, наверное.
Выложи на pastebin, я посмотрю, йопт)

thesis ★★★★★
(25.12.14 17:06:59 MSK)

Ответ на: комментарий от thesis 25.12.14 17:06:59 MSK

так в открытую сертификатами кидаться?

snaf ★★★★★
(25.12.14 17:10:43 MSK)

Ответ на: комментарий от thesis 25.12.14 17:06:59 MSK

ыыыыыыыы
А как при помощи openssl отделить мух от котлет, есть идеи?

Yustas ★★★★
(25.12.14 17:11:20 MSK) автор топика
Последнее исправление: Yustas 25.12.14 17:11:46 MSK (всего исправлений: 1)

Ответ на: комментарий от snaf 25.12.14 17:10:43 MSK

Чувак-то не ламер, да и смайлик должен заметить.

thesis ★★★★★
(25.12.14 17:11:23 MSK)

Ссылка

Ответ на: комментарий от snaf 25.12.14 17:10:43 MSK

Можно несколько символов местами поменять, к примеру xD

Yustas ★★★★
(25.12.14 17:12:27 MSK) автор топика
Последнее исправление: Yustas 25.12.14 17:12:35 MSK (всего исправлений: 1)

Ссылка

STAR_example_com.crt - скорее всего ключ.

Vovka-Korovka ★★★★★
(25.12.14 17:12:32 MSK)

Ответ на: комментарий от Vovka-Korovka 25.12.14 17:12:32 MSK

Это x509-сертификат.

Yustas ★★★★
(25.12.14 17:13:09 MSK) автор топика

Ответ на: комментарий от Yustas 25.12.14 17:11:20 MSK

Мухи и котлеты это что?
Загляни текстовым редактором в файл сертификата сервера (не бандл).
Если он в обычном ascii-формате, то там четко видно, где ключ, а где сертификат.

thesis ★★★★★
(25.12.14 17:14:29 MSK)

Ответ на: комментарий от Yustas 25.12.14 17:13:09 MSK

Это x509-сертификат.

Это точно? Ты как проверял?

Vovka-Korovka ★★★★★
(25.12.14 17:15:08 MSK)

Кстати, а как покупался сертификат? Посылался CSR (Certificate Signing Request) или CA сам генерирует private key ?

Vovka-Korovka ★★★★★
(25.12.14 17:19:57 MSK)

Ссылка

Ответ на: комментарий от Vovka-Korovka 25.12.14 17:15:08 MSK

openssl x509 -in STAR_example_com.crt -text -noout

Yustas ★★★★
(25.12.14 17:20:05 MSK) автор топика

Ответ на: комментарий от thesis 25.12.14 17:14:29 MSK

Там только сертификат.
Ключ может быть только в бандле а там:

-----BEGIN CERTIFICATE-----
$lots_of_symbols
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
$lots_of_symbols
-----END CERTIFICATE-----

Yustas ★★★★
(25.12.14 17:22:11 MSK) автор топика
Последнее исправление: Yustas 25.12.14 17:24:02 MSK (всего исправлений: 2)

Ответ на: комментарий от Yustas 25.12.14 17:20:05 MSK

Ну тогда тряси ключ с того, кто отправлял CSR.

Vovka-Korovka ★★★★★
(25.12.14 17:22:12 MSK)

Ссылка

Ключ должен был сгенерировать ты сам, при отправке CSR

Harald ★★★★★
(25.12.14 17:25:35 MSK)

Ссылка

Ответ на: комментарий от Yustas 25.12.14 17:22:11 MSK

Ключ может быть только в бандле.

Скорее всего его там нету, обычно все происходит так

1. Генерируется пара из закрытого и открытого ключа. 2. На основе открытого ключа генерируется запрос на сертификат (CSR). 3. CSR отправляется на подпись к CA. 4. CA, удостоверившись в идентичности запрашиваемого, возвращает сертификат - по сути подписанный CSR.

Vovka-Korovka ★★★★★
(25.12.14 17:26:06 MSK)