Problem s instalaciou certifikatu
Dan Ohnesorg
Dan na feld.cvut.cz
Pondělí Prosinec 24 01:55:06 CET 2007
Dne Sat, Dec 22, 2007 at 03:50:37PM +0100, Pavel Kankovsky napsal:
> On Wed, 19 Dec 2007, Vladimir Rengevic wrote:
>
> > [Wed Dec 19 21:03:51 2007] [warn] RSA server certificate is a CA
> > certificate (BasicConstraints: CA == TRUE !?)
> > [Wed Dec 19 21:03:51 2007] [warn] RSA server certificate CommonName (CN)
> > `www.grafon.sk' does NOT match server name!?
>
> Ten serverový certifikát s CA=TRUE bych chtěl fakt vidět.
> Co píše openssl x509 -text -in server.crt?
Myslim ze vec je celkem jasna, CA dava na diskete svuj certifikat a
certifikat pro server. Tazatel omylem instaloval misto sveho certifikatu
certifikat CA.
Spravne je to nejak takle:
SSLCertificateFile /etc/../vydany_certifikat.pem
SSLCertificateKeyFile /etc/.../muj_privatni_klic.pem
SSLCACertificateFile /etc/.../certifikatCA.pem
pricemz v tom souboru certifikatCA.pem bude jednak korenovy certifikat a
jednak asi alespon jeste jeden certifikat, protoze mam pocit ze DTCA
nepodepisuje primo svym korenovym certifikatem.
Aniz bych chtel nejak pomlouvat konkurencni DTCA, porizovat u nich
certifikat pro server neni moudre. Zatim nejsou v zadnem prohlizeci zahrnuti
jako duveryhodni, takze z pohledu klienta je to uplne stejne jako kdyby byl
certifikat podepsan nejakou vlastni CA, tedy server se zobrazuje jako
neduveryhodny. Navic certifikat pro jejich vlastni www stranky vyprsel
24.8.2007, coz take neco napovida.
zdravim
dan
Další informace o konferenci Linux