https://www.opennet.ru/openforum/vsluhforumID3/45015.html Обсуждение статьи тематического каталога: Установка и настройка Apache и подписанных SSL-сертификатов (apache ssl cert freebsd)<br><br>Ссылка на текст статьи: http://www.opennet.ru/base/net/apache_ssl_inst.txt.html<br> https://www.opennet.ru/openforum/vsluhforumID3/45015.html#19 Wed, 06 Jan 2021 00:38:58 GMT Это такой тонкий глум?Мина замедленного действия с таймаутом в месяц - это несерьезно: регулярно будет отваливаться сертификат.У буржуев есть более человеческие и бесплатные сервисы.И кроме того а этот ресурс является trusted ауторити в браузерах?<br><br>https://sslsfree.com/<br><br> https://www.opennet.ru/openforum/vsluhforumID3/45015.html#18 Sat, 24 Aug 2013 10:22:12 GMT Да установить<br> https://www.opennet.ru/openforum/vsluhforumID3/45015.html#16 Wed, 03 Dec 2008 10:59:44 GMT &gt;&gt;В данной статье я не собирался составлять список таких сервисов и проверять <br>&gt;&gt;их trusted authority. <br>&gt;<br>&gt;Зря - вот как раз это было бы ну очень полезно и <br>&gt;добавило бы совету ценности.А уж пнуть кофейников в сторону какой-нить правильной <br>&gt;ауторити (это как раз один из наибольших геморроев) - было бы <br>&gt;на вес золота.Глядишь кривых SSL сайтов бы поубавилось. <br><br>http://www.freessl.su/ выпускает сертификаты Comodo.<br><br>Сейчас есть 2 варианта:<br>1. Без проверки организации сертификат выдается на 90 дней (аналог EssentalSSL).<br>2. С проверкой организации - на 30 дней (аналог InstantSSL).<br><br>&gt;Если вам верить - там геморрой ежеквартальный.Это конечно не такая жесть как <br>&gt;"месячные" но обычно нормальные конторы выдают сертификаты на год.Вебмастеры тоже люди <br>&gt;и у них есть зиллион других дел кроме как запоминать когда <br>&gt;там у них SSL сертификат протухает.И чем реже он будет протухать <br>&gt;- тем реже юзеры будут знакомиться с трехэтажной руганью их браузера <br>&gt;на протухший сертификат. <br><br>Можете купить сертификат https://www.opennet.ru/openforum/vsluhforumID3/45015.html#15 Wed, 12 Nov 2008 12:23:24 GMT &gt;1) На серверах обычно гуя нет! <br><br>откройте для себя X11 over ssh и vnc :)<br><br>&gt;2) [skip] ... блондинкам по идее лучше не <br>&gt;доверять генереж сертификатов.<br><br>спорное замечание... а блондинам - можно ? :)<br><br>&gt;Извините конечно но секурити - это для профессионалов.<br><br>согласен.<br> https://www.opennet.ru/openforum/vsluhforumID3/45015.html#14 Wed, 12 Nov 2008 07:27:13 GMT &gt;&gt; Что надо сначала сгенерировать самоподписанную пару ключей, которая будет Certificate Authority, публичный ключ которой предлагать скачать на собственном сайте, а потом уже сгенерировать пару ключей для сервера, открытый ключ из которой подписать сгенерированной выше CA?<br>&gt;<br>&gt;Список команд для генерации в студию, пожалуйста. <br><br>в составе пакета openssl есть скрипты (CA.pl и CA.sh - на выбор) <br>с помощью которых очень легко сделать:<br> а) самоподписанный CA сертификат<br> б) ключи для сервера, подписанные этим CA сертификатом<br><br>а чтобы всякий раз не отвечать на нудные вопросы при генерации ключей,<br>загнать их по дефолту в openssl.cnf<br>тогда можно просто жать ENTER на все вопросы, кроме commonName<br> https://www.opennet.ru/openforum/vsluhforumID3/45015.html#13 Tue, 11 Nov 2008 18:34:27 GMT &gt;&gt; Что надо сначала сгенерировать самоподписанную пару ключей, которая будет Certificate Authority, публичный ключ которой предлагать скачать на собственном сайте, а потом уже сгенерировать пару ключей для сервера, открытый ключ из которой подписать сгенерированной выше CA?<br>&gt;<br>&gt;Список команд для генерации в студию, пожалуйста. <br><br>Ну вот, например:<br>#Create CA:<br> openssl req -new -x509 -days 3652 -sha1 -newkey rsa:1024 -config openssl.cnf -keyout private/CA.key -keyform PEM -out certs/CA.crt -outform PEM<br><br>#Convert to PKCS#12 (for export to a Windows PC):<br> cat certs/CA.crt private/CA.key &gt; private/CA-all.pem<br> openssl pkcs12 -export -in private/CA-all.pem -out certs/CA.p12<br> rm -v private/CA-all.pem<br><br>#Create signing request from web server:<br> openssl req -new -sha1 -newkey rsa:1024 -nodes -keyout www.name.key -out requests/www.name.req<br><br>#Create client certificate from sign request at CA:<br> openssl ca -policy policy_anything -extensions ssl_server -out newcerts/www.name.pem -in requests/www. https://www.opennet.ru/openforum/vsluhforumID3/45015.html#12 Tue, 11 Nov 2008 16:16:56 GMT &gt;&gt;Не глум, а примеры.<br>&gt;Пример из разряда "как заиметь ежемесячный геморрой" - это готично. <br><br>Русский езыка сцуко сложный? В статье чёрным по русскому сказано - на месяц!!!! Если кого то это не остановит - его и не нужно останавливать :) Ибо не разбивши носу ...<br><br>[...]<br><br>&gt;но обычно нормальные конторы выдают сертификаты на год.<br><br>Verisign и Thawte продают и на 2 года. Но не будь наивным чукотским юношей - все эти игрища с само-подписанными сертификатами - только от жадности. Имена контор дадены - сходи посмотри цены сам :(<br><br>&gt;Вебмастеры тоже люди и у них есть зиллион других дел кроме как запоминать когда там у них SSL сертификат протухает.<br><br>Если купишь у вышеозначенных - они напомнят :) Им твоих денег надо.<br><br>&gt;- тем реже юзеры будут знакомиться с трехэтажной руганью их браузера <br>&gt;на протухший сертификат. <br><br>Если по бизнесу нужен ссл для клиентов - то за такое делают Power Ё-boot :)<br> https://www.opennet.ru/openforum/vsluhforumID3/45015.html#11 Tue, 11 Nov 2008 16:04:42 GMT Ты становишься скучным :(<br>&gt;Все круто кроме того что:<br>&gt;1) На серверах обычно гуя нет!<br><br>Да нуууу .... с удивлением смотрю на стойки с RHEL4/5 ....<br>А!! - ты наверно о финдас-сервер2008?<br><br>&gt;2) [ словесный понос поскипан - тут не ЛОР всё же]<br><br>В статье рассказано как поставить сертификаты подписанные однм из СА ключи которой уже сидят в браузерах и не трубуют телодвижений. Но ты статью не читал - ведь так?<br><br>PS: Я даже знаю почему ты _тут_ жгешь ... потому что на LORe (где это логично делать) тебя отЪЪЪЪЫмели как сопляка :) А Максим он терпеливый - не банит таких долго :)<br> https://www.opennet.ru/openforum/vsluhforumID3/45015.html#10 Tue, 11 Nov 2008 15:55:41 GMT &gt;Не глум, а примеры.<br><br>Пример из разряда "как заиметь ежемесячный геморрой" - это готично.<br><br>&gt;проблема решится уже каждый сам сможет найти более достойных кандидатов :) <br><br>Ну понятно что "... никто не любит чистить картошку", в смысле перебирать конторы такого плана =).Но мне кажется что советовать конторы подписывающие сертификаты на месяц - это как-то негуманно.Найдутся ведь бакланы которые их поюзают.А потом у сайтов будут "месячные" =).<br><br>&gt;В данной статье я не собирался составлять список таких сервисов и проверять <br>&gt;их trusted authority. <br><br>Зря - вот как раз это было бы ну очень полезно и добавило бы совету ценности.А уж пнуть кофейников в сторону какой-нить правильной ауторити (это как раз один из наибольших геморроев) - было бы на вес золота.Глядишь кривых SSL сайтов бы поубавилось.<br><br>&gt;по ней проблем не замечено. <br><br>Если вам верить - там геморрой ежеквартальный.Это конечно не такая жесть как "месячные" но обычно нормальные конторы выдают сертификаты на год.Вебмастеры тоже люди и у них есть зиллион д