Всем привет, прошу помоч мне. дело в том что поставил Apache22+ssl на машину ОС FreBSD 7.0, создал ключи, разкинул их куда нужно, всьо вроде ок. настроил httpd.conf, httpd-ssl.conf, запустил: apachectl start
[Wed Jul 23 18:04:02 2008] [warn] (2)No such file or directory: Failed to enable the 'httpready' Accept Filter
[Wed Jul 23 18:04:02 2008] [warn] (2)No such file or directory: Failed to enable the 'httpready' Accept Filter
Apache/2.2.6 mod_ssl/2.2.6 (Pass Phrase Dialog)
Some of your private key files are encrypted for security reasons.
In order to read them you have to provide the pass phrases.Server test.ru:443 (RSA)
Enter pass phrase:OK: Pass Phrase Dialog successful.
что за ошибка ? подскажите !
>[оверквотинг удален]
>Some of your private key files are encrypted for security reasons.
>In order to read them you have to provide the pass phrases.
>
>
>Server test.ru:443 (RSA)
>Enter pass phrase:
>
>OK: Pass Phrase Dialog successful.
>
>что за ошибка ? подскажите !Ты про то, что тебе парольную фразу для приватного ключа вводить надо или про Accep filter?
Если 1е, то сделай так, чтоб не вводить пароль каждый раз:
openssl rsa -in server.key -out server.keyЕсли про 2е, то в /boot/loader.conf добавь: accf_http_load="YES"
>Ты про то, что тебе парольную фразу для приватного ключа вводить надо
>или про Accep filter?
>Если 1е, то сделай так, чтоб не вводить пароль каждый раз:
>openssl rsa -in server.key -out server.key
>
>Если про 2е, то в /boot/loader.conf добавь: accf_http_load="YES"А чтоб в при просмотре сертификатов в закладке путь сертификации - писао : Этот сертификат действителен. мона зделать ?
Мона. Купи сертификат.
>Мона. Купи сертификат.есть способ обойти такую процедуру (ПОКУПКА СЕРТИФИКАТА), например если серв будет крутиться в локалке ИЗ КОТОРОЙ НЕТ ВЫХОДА В ИНЕТ. ... поднять свой центр сертификиции и подписать сертификат самому себе ))))))
>>Мона. Купи сертификат.
>
>есть способ обойти такую процедуру (ПОКУПКА СЕРТИФИКАТА), например если серв будет крутиться
>в локалке ИЗ КОТОРОЙ НЕТ ВЫХОДА В ИНЕТ. ... поднять свой
>центр сертификиции и подписать сертификат самому себе ))))))Тоже вариант, создаешь корневой сертификат и корневой приватный ключ, затем делаешь запрос на подпись сертификата для какой либо станции, затем с помощью корневого сертификата и запроса создаешь уже сертификат для какого-либо сервака.
Если лень все руками писать, то есть уже готовый скрипт /etc/ssl/misc/CA.sh
И толку? Все равно сертификаты проверяются по цепочке. Есть список доверенных CA, те CA, что ими подписаны, тоже считаются доверенными. Сертификат подписанный доверенным CA считается "действительным". В противном случае(то есть в цепочке ни одного доверенного CA) выдается предупреждающее сообщение, другое дело что его можно смело игнорировать. Процедура создания CA и самоподписанных сертификатов хорошо описана в доке апача.
>И толку? Все равно сертификаты проверяются по цепочке. Есть список доверенных CA,
>те CA, что ими подписаны, тоже считаются доверенными. Сертификат подписанный доверенным
>CA считается "действительным". В противном случае(то есть в цепочке ни одного
>доверенного CA) выдается предупреждающее сообщение, другое дело что его можно смело
>игнорировать. Процедура создания CA и самоподписанных сертификатов хорошо описана в доке
>апача.Дак это понятно :) Он же говорит создать свой собственный локальный CA :) Понятное дело, что всякие FF, Opera и прочие не знают об этом "чудо центре сертификации" и им нужно корневой сертификат добавить в список доверенных. Это само собой
>Тоже вариант, создаешь корневой сертификат и корневой приватный ключ, затем делаешь запрос
>на подпись сертификата для какой либо станции, затем с помощью корневого
>сертификата и запроса создаешь уже сертификат для какого-либо сервака.
>
>Если лень все руками писать, то есть уже готовый скрипт /etc/ssl/misc/CA.shпонятно. но серовно..когдато цепочка остановится...вот я об етом. как имитировать ето место (ето и будет центр сертификациии... по моим соображениям) ? допустим, я отослал сертификат на подпись. что с ним делает такого организация, которая подписывает, чего не могу зделать я ?
>>Тоже вариант, создаешь корневой сертификат и корневой приватный ключ, затем делаешь запрос
>>на подпись сертификата для какой либо станции, затем с помощью корневого
>>сертификата и запроса создаешь уже сертификат для какого-либо сервака.
>>
>>Если лень все руками писать, то есть уже готовый скрипт /etc/ssl/misc/CA.sh
>
>понятно. но серовно..когдато цепочка остановится...вот я об етом. как имитировать ето место
>? допустим, я отослал сертификат на подпись. что с ним
>делает такого организация, которая подписывает, чего не могу зделать я ?
>Ты отсылаешь ЗАПРОС на сертификат :) Они тебе присылают сертификат, сгенеренный и подписанный ими
- Сертификат для "ццц.ккк" подписан неизвестным поставщиком сертификатов "Уууу Ккккк CA".Невозможно проверить, является ли данный сертификат действительным.где оно проверяло, если комп в локалке ? можно както имитировать ето место для подтверждения сертификата действительным !!! но вопрос: есть ли для етого известные средства ?
>что с ним делает такого организация, которая подписывает, чего не могу зделать я ?Во первых, посылается не сертификат а запрос. Во-вторых, у вас нет их ключа и как следствие вы не можете подписать ихним CA свой сертификат. Браузеры и другие программы работающие с сертификатами знают определенный набор CA, которые считаются доверенными. Разумеется этот набор отличается от версии к версии и поэтому молодые CA предоставляют свой корневой сертификат подписанный более старым(и как следствие известным) CA, чтобы браузеры смогли по цепочке проверить.
И ваще http://httpd.apache.org/docs/2.2/ssl/ssl_faq.html
>>что с ним делает такого организация, которая подписывает, чего не могу зделать я ?
>
>Во первых, посылается не сертификат а запрос. Во-вторых, у вас нет их
>ключа и как следствие вы не можете подписать ихним CA свой
>сертификат. Браузеры и другие программы работающие с сертификатами знают определенный набор
>CA, которые считаются доверенными. Разумеется этот набор отличается от версии к
>версии и поэтому молодые CA предоставляют свой корневой сертификат подписанный более
>старым(и как следствие известным) CA, чтобы браузеры смогли по цепочке проверить.
>
>И ваще http://httpd.apache.org/docs/2.2/ssl/ssl_faq.htmlзначит ключ (РОЗГАДКА) в самом браузере ... следствие, можно внести изменение в браузер, для того чтобы он определял сертификат как действительный...хотябы на одной машыне )
Конечно можно,в коньке например открываешь configure->crypto->ssl signers и импортишь туда нужный корневой сертификат. Только боюсь в разных браузерах по разному будет.
>Конечно можно,в коньке например открываешь configure->crypto->ssl signers и импортишь туда нужный корневой сертификат. Только боюсь в разных браузерах по разному будет.Ни в опере ни в Иексплорере не нашел подобных папок (
У меня нет ни того, ни другого, так что помочь не могу. Спросите у гугла.
- Данный узел использует устаревший метод шифрования, который определен как небезопасный. Он не может надежно защитить критические данные. Продолжить?
- Сервер использует короткий открытый ключ шифрования, который считается небезопасным.ет как-то мона паправить ?