Не понятно доступен сайт или нет

astra linux, centos, certificates, proxy

0

1

Есть сервер с Битриксом на CentOsе, настроен прокси, нужен доступ к нескольким сайтам, если через wget качаю, ответ 200 и файл скачивается. Если через curl проверяю, ответ 200 + всякие доп. данные. Создан сервер на Astra Linuxe, установлен тот же Битрикс, настроен прокси и так же доступ к сайтам нужен, вот только wget пишет «нет доверия сертификату», а curl просто 200 ответ выдает. Понимаю что дело в сертификате, но корневой вроде как стоит, ca-certificates нового не добавляет и пишет что установлен последней версии. На Центосе установлена штуки 3 сертифката, а на Астре штук 10 и не хочет. Что не так то?

←	Создание образа docker

Выбор фильтрующего DNS resolver'а

→

Ответ лежит на поверхности.

anonymous
(13.08.24 08:34:00 MSK)

Ответ на: комментарий от anonymous 13.08.24 08:34:00 MSK

Да я понимаю что нужно какой-то сертифкиат поставить, только не могу понять чей. Сайта к которому хочу подключиться? промежуточной? корневой? Я вообще в этом плане слабо разбираюсь

zawibis
(13.08.24 08:41:11 MSK) автор топика

Ответ на: комментарий от zawibis 13.08.24 08:41:11 MSK

openssl s_client -connect и изучай портянку в обоих случаях

cobold ★★★★★
(13.08.24 10:04:36 MSK)

google wget ignore certificate

router ★★★★★
(13.08.24 14:16:25 MSK)

Ответ на: комментарий от zawibis 13.08.24 08:41:11 MSK

Корневой

Устанавливать в систему другие будет ошибкой, но в принципе работает

router ★★★★★
(13.08.24 14:17:05 MSK)

Ответ на: комментарий от router 13.08.24 14:16:25 MSK

Игнорировать сертификат дело хорошее, но дело в том, что не только wget`у нужен доступ к сайту и там уже такое не прописать. Поэтому хотелось бы решить проблему в корне, на центосе же работает и без этого

zawibis
(13.08.24 14:43:51 MSK) автор топика

Вам доступ к каким-то сайтам с сервера на Astra или к сайтам на хостящимся на этом сервере?

FireFighter ★★★
(13.08.24 16:20:26 MSK)
Последнее исправление: FireFighter 13.08.24 16:20:57 MSK (всего исправлений: 1)

Ответ на: комментарий от zawibis 13.08.24 14:43:51 MSK

Убедись, что

нужный тебе корень установлен
сервер отдает всю цепочку (иногда по ошибке ставят только сертификат сервера, забывая, что нужы все)

router ★★★★★
(13.08.24 20:34:42 MSK)

Ответ на: комментарий от router 13.08.24 20:34:42 MSK

Теотерически, ещё могли к wget’у прикрутить паранойю (только sha256 и новее, обязателно поле SAN и т.д.), но это менее вероятно

router ★★★★★
(13.08.24 20:37:15 MSK)

Ответ на: комментарий от router 13.08.24 20:37:15 MSK

Теоретически, там может быть бородатая версия астры с истёкшими сертификатами, о которых она пока не знает, что они истекли )

Aceler ★★★★★
(13.08.24 20:37:57 MSK)

Ответ на: комментарий от Aceler 13.08.24 20:37:57 MSK

С таким вариантом не сталкивался, т.к. сертификаты корневых УЦ обычно выпускают лет на 10, и мейнтейнеру надо быть совсем уж слоупоком

Зато пару раз видел, что у CA появился новый корень, а в старых дистрибутивах его нет

router ★★★★★
(13.08.24 20:50:37 MSK)

Ответ на: комментарий от FireFighter 13.08.24 16:20:26 MSK

К определенным сайтам в интернете

zawibis
(14.08.24 06:05:05 MSK) автор топика

Ответ на: комментарий от router 13.08.24 20:34:42 MSK

Тут куча сертификатов =) Ставили до меня. И сайт по https работает. Вроде корневой есть.
Если посмотреть сертификат который по https показывается, то там до полного доменного пути сайта идёт

zawibis
(14.08.24 06:07:48 MSK) автор топика

Ответ на: комментарий от zawibis 14.08.24 06:07:48 MSK

Ну тогда у тебя «вроде» все ок, проверяй.

Что ты от нас хочешь? Тебе говорят делать X, ты не делаешь, а пишешь в ответ короткие сочинения на тему. Сделай X.

t184256 ★★★★★
(14.08.24 08:38:54 MSK)

Ответ на: комментарий от t184256 14.08.24 08:38:54 MSK

Есть корневой. Тот, в пути которого прописан наш центр сертификации и всё

zawibis
(14.08.24 09:48:55 MSK) автор топика

Ответ на: комментарий от zawibis 14.08.24 09:48:55 MSK

Ничего не понял, где и что ты проверяшь

На компе, с которого ты запускаешь wget или curl, должен быть установлен корневой сертификат

Корневой сертификат того УЦ, который выпустил сертификат сервера, к которому ты пробуешь подключиться

man s_client
echo | openssl s_client -showcerts -connect SITE:PORT | less

Для начала смотри, какие предупреждения покажет сам s_client. А он скорее всего покажет

Если нет или ты их не замечаешь, сохраняй эти сертификаты в файл и смотри через openssl x509 (man x509. ну или google openssl show certificate)

Разбирись, как идёт цепочка сертификатов (какой чем подписан). Увидишь, кто из них корневой

Потом тебе нужно убедиться, что сертификат именно этого root CA установлен на компе (с которого ты запускаешь wget и curl)

Сверяй серийник или fingerprint, не важно

Потому что 99% сейчас у тебя он не установлен

router ★★★★★
(14.08.24 19:46:04 MSK)
Последнее исправление: router 14.08.24 19:46:32 MSK (всего исправлений: 1)

←	Создание образа docker

Admin

Выбор фильтрующего DNS resolver'а

→

Похожие темы