Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| |
Спасибо за линк 05.11.04 17:13 Число просмотров: 2399
Автор: amirul <Serge> Статус: The Elderman
|
> Лучше всего не делать самоподписанный сертификат для
> сервера, а сделать самоподписанный сертификат CA,
> заинсталлить его в хранилище доверенных, а сертификат
> серверу выпустить на этом СА (не обращаясь к верисайну).
Наверное так и надо сделать, только добавлять в доверенные чужой сертификат как то не очень хочется. SSL-сертификат должен быть установлен с обоих сторон, следовательно обе стороны должны доверять этому созданному CA. Я не особо хочу доверять непонятно кому. Лучше уж сделать сертификат конкретно для SSL,самоподписать его и отключить в нем возможность подписи чего либо другого. Конечно, можно попросить присласть мне запрос (я клиент) и подписать его, но вряд ли на удаленном конце захотят добавлять мой CA-сертификат в доверенные.
Если я чего то не правильно понимаю - прошу просветить
У меня следующий вопрос. Я пытаюсь прикрутить SSL к Debugging Tools for Windows. И ни фига не выходит. Говорит, что объект не найден. Куда бежать?
|
|
<networking>
|
Создание самоподписанного SSL-сертификата 04.11.04 17:37
Автор: amirul <Serge> Статус: The Elderman
|
Пытаюсь настроить удаленную отладку при помощи "Debugging tools for Windows". Одним из протоколов связи является SSL. От SSL мне нужно только шифрование трафика, так что отдавать сертификат на подпись тому же верисигну не хочется.
Много искал. Качать и ставить какой нибудь IIS тоже не особо хочется. Скачал openssl, в принципе понял как создавать самоподписанные сертификаты, но ни фига не понял как добавлять туда назначения (в частности нужно server authentication)
Киньте тулзой, линком на доку или любой другой помощью, которые позволят мне создавать эти долбанные server auth сертификаты.
|
|
Поройся тут: http://www.openca.org/ 05.11.04 14:54
Автор: cybervlad <cybervlad> Статус: Elderman
|
|
Лучше всего не делать самоподписанный сертификат для сервера, а сделать самоподписанный сертификат CA, заинсталлить его в хранилище доверенных, а сертификат серверу выпустить на этом СА (не обращаясь к верисайну).
|
| |
Спасибо за линк 05.11.04 17:13
Автор: amirul <Serge> Статус: The Elderman
|
> Лучше всего не делать самоподписанный сертификат для
> сервера, а сделать самоподписанный сертификат CA,
> заинсталлить его в хранилище доверенных, а сертификат
> серверу выпустить на этом СА (не обращаясь к верисайну).
Наверное так и надо сделать, только добавлять в доверенные чужой сертификат как то не очень хочется. SSL-сертификат должен быть установлен с обоих сторон, следовательно обе стороны должны доверять этому созданному CA. Я не особо хочу доверять непонятно кому. Лучше уж сделать сертификат конкретно для SSL,самоподписать его и отключить в нем возможность подписи чего либо другого. Конечно, можно попросить присласть мне запрос (я клиент) и подписать его, но вряд ли на удаленном конце захотят добавлять мой CA-сертификат в доверенные.
Если я чего то не правильно понимаю - прошу просветить
У меня следующий вопрос. Я пытаюсь прикрутить SSL к Debugging Tools for Windows. И ни фига не выходит. Говорит, что объект не найден. Куда бежать?
|
| |
Я как раз по нему и научился делать сертификаты :-) 04.11.04 18:29
Автор: amirul <Serge> Статус: The Elderman
|
> http://httpd.apache.org/docs-2.0/ssl/ssl_faq.html#ownca
Только extension-ов в нем не оказывается
Насколько я понимаю нужно использовать openssl x509 с ключом -extfile. Вот только синтаксис этого extfile-а как-то уж слишком поверхностно описан в доке по openssl
|
| | |
Попробуй использовать CA.pl из openssl/contrib . Это такая... 04.11.04 22:04
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
|
Попробуй использовать CA.pl из openssl/contrib . Это такая обвязка к опенссл (типа для тупых вроде меня). Очень помогает, если нужно срочно сгенерить конкретный сертификат.
|
| | | |
Да ей все равно конфиг файл нужен 05.11.04 10:31
Автор: amirul <Serge> Статус: The Elderman
|
> Попробуй использовать CA.pl из openssl/contrib . Это такая
> обвязка к опенссл (типа для тупых вроде меня). Очень
> помогает, если нужно срочно сгенерить конкретный
> сертификат.
Потому как только там можно указать расширения сертификата.
В общем поковырялся я еще по опенссл-овским докам и нашел.
Создаем где нить openssl.cnf следующего содержания:
[req]
distinguished_name = req_distinguished_name
x509_extensions = v3_ca
prompt = no
[req_distinguished_name]
C = UA
ST = Zaporizhzhya
O = MegaCompany
CN = Serge Dukhopel
emailAddress = amirul@mail.ru
[v3_ca]
basicConstraints = CA:FALSE
extendedKeyUsage=serverAuth,clientAuth
---
Запускаем
openssl req -x509 -nodes -sha1 -newkey rsa:1024 -keyout key.pem -out cert.pem -config openssl.cnf
---
для генерации самоподписанного x.509 сертификата с расширениями, указанными в openssl.cnf
после чего делаем
openssl pkcs12 -export -in cert.pem -inkey key.pem -out cert.pfx -name "My cert"
---
Для преобразования сгенерированного сертификата в формат, который умеет импортировать виндовый certmgr.msc
Теперь буду прикручивать этот сертификат к WinDbg
|
|
|
подробно о проекте
Анализ криптографических сетевых...
