CentOS 6.0 ISP - nedůvěryhodný certifikát - fórum

Kategorie: Virtuální servery (VPS) / Obecné

přidatNový příspěvek

Chcete-li odebírat toto téma e-mailem, přihlašte se nebo se nejprve zaregistrujte.

CentOS 6.0 ISP - nedůvěryhodný certifikát

Petr Polák, 19.12.2011 08:45:45

Dobrý den,

mám čerstvě nainstalovaný balíček CentOS 6.0 ISP (tak jak je) a rád bych odstranil hlášení o nedůvěryhodmém certifikátu ze stránek
https://example.com/webmail/
https://example.com/phpMyAdmin/ a
https://example.com:8080/

Marně googlím nějaký podrobnější návod pro začátečníka. Z toho co jsem zjistil, je patrně více možností.
-Zrušit https - to nechci,
-vygenerovat nějaký vlastní certifikát, který by si uživatel nainstaloval (nevím jak a kam),
-vygenerovat pro VPS zdarma certifikát od StartComu

Moje představa je, že na VPS (s jednou veřejnou IP adresou) poběží více domén (všechny jen http), https bych chtěl u všech pro webmail (chci upravit na Roundcube), phpMyAdmin a admin ISP rozhraní.

Mohu požádat o nějaké nasměrování na správnou cestu?

Re: CentOS 6.0 ISP - nedůvěryhodný certifikát

Petr Smetana, WEDOS, 19.12.2011 09:30:50

Dobrý den,

aktuálně tam máte selfsigned certifikát vyrobený námi. Pokud by jste perspektivně chtěl mít řešení, o kterém mluvíte. Potřeboval by jste pro každou doménu certifikát např. od startcom, nebo jiné certifikační autority. Každý certifikát je vázaný k samostatné IP (každá IP = 100Kč/měs bez DPH). Z vlastní praxe musím říci, že přes ISPConfig Vaše řešení nastavit nepůjde a bude se muset ručně zasahovat do jednotlivých virtualhostů na apachi.

Víme i o alternativách, které by Vaši situaci mohly též řešit, např. mnohonásobný certifikát pro více domén (ten ovšem stojí opravdu nemálo). Dalším řešením by mohlo být SNI (Server Name Indication), s ním bohužel nemáme žádné zkušenosti.

Re: CentOS 6.0 ISP - nedůvěryhodný certifikát

Petr Polák, 19.12.2011 15:53:04

Díky za odpověď. Asi to nechám jak to je. Pomocí tohoto návodu
http://www.pslib.cz/ke/WWW_server_se_SSL
se mi podařilo vygenerovat selfsigned certifikát vlastní. Mohl bych ještě požádat o radu, jak místo tohoto certifikátu importovat certifikát od startcomu (alespoň pro jednu doménu)?
Mám ho teď vygenerovaný a nainstalovaný ze stránek startcomu ve WinXP SP3, po vyexportování má příponu .cer, ale vygenerovaný na serveru tvar localhost.crt. Jak ten startcomácký dostanu na server?

Re: CentOS 6.0 ISP - nedůvěryhodný certifikát

Petr Smetana, WEDOS, 19.12.2011 16:01:19

Implementace v systému kde je lamp sestává z vytvoření nového virtualhostu naslouchajícího na portu 443. Do něj je následně nutné doplnit cestu k certifikátu a ke klíči pomocí následujících řádků:


SSLEngine On
SSLCertificateFile /cestakssl/ca.cer
SSLCertificateKeyFile /cestakssl/cert.key

Pokud by jste potřeboval pomoci, obraťte se prosím na naši technickou podporu, která Vám v rámci placeného zásahu může Váš systém nastavit.

Re: CentOS 6.0 ISP - nedůvěryhodný certifikát

Petr Polák, 21.12.2011 00:54:18

Díky, placenou podporu využiji rád v jiných případech, ale toto nastavení se chci naučit sám.
Trochu jsem pokročil. Na startssl.com mám validovanou doménu, bez www, řekněme example.com a pomocí Certificates Wizard jsem si na startssl.com vygeneroval Private Key s volbou Certificate Target: Web Server SSL/TLS certificate a uložil na VPS do /etc/pki/tls/private pod názvem localhost.key.

Pak jsem použil následující příkazy:
cd /etc/pki/tls
rm -f private/localhost.key certs/localhost.crt
openssl genrsa 1024 > private/localhost.key
chmod go-rwx private/localhost.key
openssl req -new -key private/localhost.key -x509 -days 365 -out certs/localhost.crt -set_serial 00

a následně vyplnil dotazy.

Ale při přihlašování na https://example.com je nový certifikát stále nedůvěryhodný :(.

Re: CentOS 6.0 ISP - nedůvěryhodný certifikát

Luděk Načev, 21.06.2013 13:30:28

A neodkazujete někde z domény: example.com na http? Stačí aby jediný odkaz z Vašich stránek byl mimo tento web a nebudete mít šifrované spojení. Například jquery nebo i obrázek z jiného než zabezpečeného zdroje. Náprava je jednoduchá stačí odkazovat na https pokud "oni" mají jakýkoliv cert.

Přihlášení zákazníka

Nemáte ještě zákaznický účet? Registrace

Copyright © WEDOS, 2018

Facebook RSS