URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID8
Нить номер: 5888
[ Назад ]

Исходное сообщение
"HELP apacht22+ssl"

Отправлено German , 23-Июл-08 18:21 
Всем привет, прошу помоч мне. дело в том что поставил Apache22+ssl на машину ОС FreBSD 7.0, создал ключи, разкинул их куда нужно, всьо вроде ок. настроил httpd.conf, httpd-ssl.conf, запустил:  apachectl start
[Wed Jul 23 18:04:02 2008] [warn] (2)No such file or directory: Failed to enable the 'httpready' Accept Filter
[Wed Jul 23 18:04:02 2008] [warn] (2)No such file or directory: Failed to enable the 'httpready' Accept Filter
Apache/2.2.6 mod_ssl/2.2.6 (Pass Phrase Dialog)
Some of your private key files are encrypted for security reasons.
In order to read them you have to provide the pass phrases.

Server test.ru:443 (RSA)
Enter pass phrase:

OK: Pass Phrase Dialog successful.

что за ошибка ? подскажите !


Содержание

Сообщения в этом обсуждении
"HELP apacht22+ssl"
Отправлено Vitaly_loki , 23-Июл-08 21:38 
>[оверквотинг удален]
>Some of your private key files are encrypted for security reasons.
>In order to read them you have to provide the pass phrases.
>
>
>Server test.ru:443 (RSA)
>Enter pass phrase:
>
>OK: Pass Phrase Dialog successful.
>
>что за ошибка ? подскажите !

Ты про то, что тебе парольную фразу для приватного ключа вводить надо или про Accep filter?
Если 1е, то сделай так, чтоб не вводить пароль каждый раз:
openssl rsa -in server.key -out server.key

Если про 2е, то в /boot/loader.conf добавь: accf_http_load="YES"


"HELP apacht22+ssl"
Отправлено German , 24-Июл-08 14:16 

>Ты про то, что тебе парольную фразу для приватного ключа вводить надо
>или про Accep filter?
>Если 1е, то сделай так, чтоб не вводить пароль каждый раз:
>openssl rsa -in server.key -out server.key
>
>Если про 2е, то в /boot/loader.conf добавь: accf_http_load="YES"

А чтоб в при просмотре сертификатов в закладке путь сертификации - писао : Этот сертификат действителен. мона зделать ?


"HELP apacht22+ssl"
Отправлено Pahanivo , 24-Июл-08 16:11 
Мона. Купи сертификат.



"HELP apacht22+ssl"
Отправлено German , 24-Июл-08 17:43 
>Мона. Купи сертификат.

есть способ обойти такую процедуру (ПОКУПКА СЕРТИФИКАТА), например если серв будет крутиться в локалке ИЗ КОТОРОЙ НЕТ ВЫХОДА В ИНЕТ. ... поднять свой центр сертификиции и подписать сертификат самому себе ))))))


"HELP apacht22+ssl"
Отправлено Vitaly_loki , 24-Июл-08 21:24 
>>Мона. Купи сертификат.
>
>есть способ обойти такую процедуру (ПОКУПКА СЕРТИФИКАТА), например если серв будет крутиться
>в локалке ИЗ КОТОРОЙ НЕТ ВЫХОДА В ИНЕТ. ... поднять свой
>центр сертификиции и подписать сертификат самому себе ))))))

Тоже вариант, создаешь корневой сертификат и корневой приватный ключ, затем делаешь запрос на подпись сертификата для какой либо станции, затем с помощью корневого сертификата и запроса создаешь уже сертификат для какого-либо сервака.

Если лень все руками писать, то есть уже готовый скрипт /etc/ssl/misc/CA.sh


"HELP apacht22+ssl"
Отправлено angra , 24-Июл-08 23:53 
И толку? Все равно сертификаты проверяются по цепочке. Есть список доверенных CA, те CA, что ими подписаны, тоже считаются доверенными. Сертификат подписанный доверенным CA считается "действительным". В противном случае(то есть в цепочке ни одного доверенного CA) выдается предупреждающее сообщение, другое дело что его можно смело игнорировать. Процедура создания CA и самоподписанных сертификатов хорошо описана в доке апача.

"HELP apacht22+ssl"
Отправлено Vitaly_loki , 25-Июл-08 00:12 
>И толку? Все равно сертификаты проверяются по цепочке. Есть список доверенных CA,
>те CA, что ими подписаны, тоже считаются доверенными. Сертификат подписанный доверенным
>CA считается "действительным". В противном случае(то есть в цепочке ни одного
>доверенного CA) выдается предупреждающее сообщение, другое дело что его можно смело
>игнорировать. Процедура создания CA и самоподписанных сертификатов хорошо описана в доке
>апача.

Дак это понятно :) Он же говорит создать свой собственный локальный CA :) Понятное дело, что всякие FF, Opera и прочие не знают об этом "чудо центре сертификации" и им нужно корневой сертификат добавить в список доверенных. Это само собой


"HELP apacht22+ssl"
Отправлено German , 24-Июл-08 23:57 
>Тоже вариант, создаешь корневой сертификат и корневой приватный ключ, затем делаешь запрос
>на подпись сертификата для какой либо станции, затем с помощью корневого
>сертификата и запроса создаешь уже сертификат для какого-либо сервака.
>
>Если лень все руками писать, то есть уже готовый скрипт /etc/ssl/misc/CA.sh

понятно. но серовно..когдато цепочка остановится...вот я об етом. как имитировать ето место (ето и будет центр сертификациии... по моим соображениям) ? допустим, я отослал сертификат на подпись.  что с ним делает такого организация, которая подписывает, чего не могу зделать я ?


"HELP apacht22+ssl"
Отправлено Vitaly_loki , 25-Июл-08 00:17 
>>Тоже вариант, создаешь корневой сертификат и корневой приватный ключ, затем делаешь запрос
>>на подпись сертификата для какой либо станции, затем с помощью корневого
>>сертификата и запроса создаешь уже сертификат для какого-либо сервака.
>>
>>Если лень все руками писать, то есть уже готовый скрипт /etc/ssl/misc/CA.sh
>
>понятно. но серовно..когдато цепочка остановится...вот я об етом. как имитировать ето место
>? допустим, я отослал сертификат на подпись.  что с ним
>делает такого организация, которая подписывает, чего не могу зделать я ?
>

Ты отсылаешь ЗАПРОС на сертификат :) Они тебе присылают сертификат, сгенеренный и подписанный ими


"HELP apacht22+ssl"
Отправлено German , 25-Июл-08 00:20 
- Сертификат для "ццц.ккк" подписан неизвестным поставщиком сертификатов "Уууу Ккккк CA".Невозможно проверить, является ли данный сертификат действительным.

где оно проверяло, если комп в локалке ? можно както имитировать ето место для подтверждения сертификата действительным !!! но вопрос: есть ли для етого известные средства ?


"HELP apacht22+ssl"
Отправлено angra , 25-Июл-08 00:30 
>что с ним делает такого организация, которая подписывает, чего не могу зделать я ?

Во первых, посылается не сертификат а запрос. Во-вторых, у вас нет их ключа и как следствие вы не можете подписать ихним CA свой сертификат. Браузеры и другие программы работающие с сертификатами знают определенный набор CA, которые считаются доверенными. Разумеется этот набор отличается от версии к версии и поэтому молодые CA предоставляют свой корневой сертификат подписанный более старым(и как следствие известным) CA, чтобы браузеры смогли по цепочке проверить.
И ваще http://httpd.apache.org/docs/2.2/ssl/ssl_faq.html


"HELP apacht22+ssl"
Отправлено German , 25-Июл-08 00:42 
>>что с ним делает такого организация, которая подписывает, чего не могу зделать я ?
>
>Во первых, посылается не сертификат а запрос. Во-вторых, у вас нет их
>ключа и как следствие вы не можете подписать ихним CA свой
>сертификат. Браузеры и другие программы работающие с сертификатами знают определенный набор
>CA, которые считаются доверенными. Разумеется этот набор отличается от версии к
>версии и поэтому молодые CA предоставляют свой корневой сертификат подписанный более
>старым(и как следствие известным) CA, чтобы браузеры смогли по цепочке проверить.
>
>И ваще http://httpd.apache.org/docs/2.2/ssl/ssl_faq.html

значит ключ (РОЗГАДКА) в самом браузере ... следствие, можно внести изменение в браузер, для того чтобы он определял сертификат как действительный...хотябы на одной машыне )


"HELP apacht22+ssl"
Отправлено angra , 25-Июл-08 00:49 
Конечно можно,в коньке например открываешь configure->crypto->ssl signers и импортишь туда нужный корневой сертификат. Только боюсь в разных браузерах по разному будет.

"HELP apacht22+ssl"
Отправлено German , 25-Июл-08 00:59 
>Конечно можно,в коньке например открываешь configure->crypto->ssl signers и импортишь туда нужный корневой сертификат. Только боюсь в разных браузерах по разному будет.

Ни в опере ни в Иексплорере не нашел подобных папок (


"HELP apacht22+ssl"
Отправлено angra , 25-Июл-08 01:14 
У меня нет ни того, ни другого, так что помочь не могу. Спросите у гугла.

"HELP apacht22+ssl"
Отправлено German , 25-Июл-08 12:14 

- Данный узел использует устаревший метод шифрования, который определен как небезопасный. Он не может надежно защитить критические данные. Продолжить?
- Сервер использует короткий открытый ключ шифрования, который считается небезопасным.

ет как-то мона паправить ?