certyfikaty SSL
Jacek Osiecki
joshua w hybrid.pl
Czw, 1 Lut 2007, 12:12:42 CET
On Thu, 1 Feb 2007, Przemysław Backiel wrote:
> Jacek Osiecki napisał(a):
>> On Tue, 30 Jan 2007, Maciej Krzyżanowski wrote:
>>> ja generowalem wg tego:
>>> http://lists.pld-linux.org/mailman/pipermail/pld-doc/2004-May/000786.html
>> Faktycznie, działa przy apache'u jak należy.
>> Tylko nie mogę dojść do tego jak wygenerować plik .der dla certyfikatu CA,
>> który moi klienci mogliby pobrać i zainstalować w IE by outlook potem nie
>> twierdził że certyfikaty są podpisane przez nieznane CA...
> najlepsze ze kiedys znalazłem taki opis :)
> działał :)
> ale.. skonczyły mi sie certy i troche to się wykoleiło :(
Trochę poszukałem... i jest:
1. Generujemy plik .der - jest potrzebny dla IE/outlooka
openssl x509 -in cacert.pem -out cacert.der -outform DER
2. Pliki cacert.pem i cacert.der wrzucamy do /etc/ssl (można gdzie indziej,
tylko wtedy trzeba sobie przerobić odpowiednio skrypt)
3. Tworzymy stronkę, na którą wrzucamy index.cgi - w załączniku.
W zależności czy klient ma IE czy coś innego - podaje plik .der albo .pem
z odpowiednimi nagłówkami. Wcześniej pokazuje odpowiednią stronkę z
informacją co klient za chwilę otrzyma i odciskami md2, md5 i sha1.
4. Informujemy klientów, że jeśli mają Operę i nie chcę być za każdym razem
pytani czy nam ufają - powinni wejść w Narzędzia -> ustawienia ->
zaawansowane -> zabezpieczenia, kliknąć w "zarządzanie certyfikatami",
potem "ośrodki certyfikacji", znaleźć ten nasz, kliknąć "podgląd"
i wyłączyć ptaszek przy "ostrzegaj mnie przy używaniu tego certyfikatu".
Pozdrawiam,
--
Jacek Osiecki joshua w ceti.pl GG:3828944
"To nie logika, to polityka"
(c) Kabaret pod Wydrwigroszem 2006
Więcej informacji o liście dyskusyjnej pld-users-pl