Корневой сертификат в p12

0

1

Пытаюсь закрыть ssl один свой сайтик при выкидывании в интернеты. Причем, не только само соединение от сервера, но и чтобы войти можно было только по сертификату.

Делаю все по полной программе, т.е. свой корневой сертификат для личного CA, делаю сертификат сервера, подписываю, делаю сертификат клиента, подписываю, экспортирую в p12 файл и устанавливаю у клиента.

И всё почти работает, но есть одно «но». Когда p12 файл импортируется (например в firefox) для импортируемого корневого сертификата не устанавливается никаких разрешений, т.е. firefox начинает ныть, что сертификат сервера не проверен и т.д. Но если пойти в настройки и вручную поставить сертификату доверие «этот сертификат может использоваться для идентификации веб сайтов», то всё начинает работать.

Не хорошо. Как сделать, чтобы прямо при установке доверие устанавливалось автоматически?

Ссылка

←	Какой дистрибутив вы ставите на vpn 500 мб оперативки.

ZImbra filtering

→

Вероятно нужен правильный -t параметр у certutil

Elyas ★★★★★
(04.07.14 15:40:51 MSK)

какой бы толк был от всего этого SSL-а, если бы «прямо при установке доверие устанавливалось автоматически»?

Тебе надо стать известным CA, чтобы все браузеры тебя «признали» и добавили в список доверенных.

aol ★★★★★
(04.07.14 15:41:51 MSK)

Ответ на: комментарий от aol 04.07.14 15:41:51 MSK

Тебе надо стать известным CA, чтобы все браузеры тебя «признали» и добавили в список доверенных.

Мне на фиг не упёрлись всё браузеры. Только те, куда нужные люди будут сами руками устанавливать сделанный лично для них p12 файл. Все остальные могут стройными рядами идти лесом.

Но количество телодвижений для клиента хотелось бы уменьшить. Желательно до одного: установите файл.

atrus ★★★★★
(04.07.14 15:45:49 MSK) автор топика

Ответ на: комментарий от Elyas 04.07.14 15:40:51 MSK

нужен правильный -t параметр у certutil

М... Не понял. Я пока использую только openssl в работе. В самом linux ничего никуда не устанавливается. Там только apache. p12 пойдёт вендоюзерам. :)

atrus ★★★★★
(04.07.14 15:46:45 MSK) автор топика

Ответ на: комментарий от atrus 04.07.14 15:45:49 MSK

используй доменные полит... WAIT, OH, SHI~~

aol ★★★★★
(04.07.14 15:47:01 MSK)

Ссылка

Ответ на: комментарий от atrus 04.07.14 15:46:45 MSK

В сертификате нет и не может быть установлено никаких свойств для автодоверия, иначе терялся бы смысл. certutil позволяет пополнить базу сертификатов линуксового firefox, указав полномочия для сертификата. Как это делается на Windows - не знаю.

Elyas ★★★★★
(04.07.14 16:02:39 MSK)

Ответ на: комментарий от Elyas 04.07.14 16:02:39 MSK

Я же помню, как устанавливал корневой сертификат для WM Keeper Light и он не требовал никаких ручных действий...

atrus ★★★★★
(04.07.14 16:28:43 MSK) автор топика

Ответ на: комментарий от atrus 04.07.14 16:28:43 MSK

Подозреваю, что он был заверен известным CA

Elyas ★★★★★
(04.07.14 16:43:34 MSK)

Ответ на: комментарий от Elyas 04.07.14 16:43:34 MSK

Похоже вы правы. Пичалька.

atrus ★★★★★
(04.07.14 17:04:56 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Какой дистрибутив вы ставите на vpn 500 мб оперативки.

General

ZImbra filtering

→

Похожие темы