Změna certifikátu a Public-Key-Pin
Martin Kraus
lists_mk na wujiman.net
Středa Červen 22 16:29:46 CEST 2016
On Wed, Jun 22, 2016 at 03:26:16PM +0200, Zdeněk Janiš wrote:
> Dobrý den,
> snažím se na Debianu (Jessie) a Apache2 rozchodit automatické generování a
> obnovování certifikátů vystavených od "Let’s Encrypt".
>
> Vše mi funguje od vytvoření certifikátu a po konfiguraci Apache2.
>
> Jediné s čím mám problém je s "Public-Key-Pins".
>
> Nějak nechápu jak se řeší změna/aktualizace PINu při změně certifikátu
> (key+crt).
>
> Chová se mi to tak:
>
> 1) načtu stránku - vše v pohodě.
> 2) změním certifikát a tedy i PIN.
> 3) Obnovím stránku:
> Error code: MOZILLA_PKIX_ERROR_KEY_PINNING_FAILURE
> 4) počkám potřebnou dobu (12h - nastaveno pro pokusy).
> 5) již opět stránka funguje.
>
> Když nechám otestovat nastavení serveru:
>
> https://www.ssllabs.com/ssltest/analyze.html
>
> tak mám A+ a to i když si prohlížeč stěžuje.
>
> Něco mi v tom postupu změny certifikátu a PINu uniká...
pridat druhy pin-sha256 z noveho klice
Header always set Public-Key-Pins "max-age=500;pin-sha256=\"qTD+gF18eKgcX9J8FXIjIkBrfMIo+Si2+DOYvJvQzQk=\";pin-sha256=\"LZ/8xC+eiFhPjQMuq4MUlNJGhApjQpfwrihG0Vj3MXk=\""
po vyprseni timeoutu odstranit stary pin
mk
Další informace o konferenci Linux