https://www.opennet.ru/openforum/vsluhforumID10/3723.html Доброе утро.<br>Пытаюсь создать SSL канал, и авторизацию при помощи SSL сертификатов.<br><br>Создаю сертификаты, как описанно здесь : http://www.vanemery.com/Linux/Apache/apache-SSL.html<br><br>CA:<br>openssl genrsa -des3 -out my-ca.key 2048<br>openssl req -new -x509 -days 3650 -key my-ca.key -out my-ca.crt<br><br>Для сервера<br>openssl genrsa -des3 -out mars-server.key 1024<br>openssl req -new -key mars-server.key -out mars-server.csr<br>openssl x509 -req -in mars-server.csr -out mars-server.crt -sha1 -CA my-ca.crt -CAkey my-ca.key -CAcreateserial -days 3650<br><br>для клиента :<br>openssl genrsa -des3 -out van-c.key 1024<br>openssl req -new -key van-c.key -out van-c.csr<br>openssl x509 -req -in van-c.csr -out van-c.crt -sha1 -CA my-ca.crt -CAkey my-ca.key -CAcreateserial -days 3650<br>openssl pkcs12 -export -in van-c.crt -inkey van-c.key -name "Van Emery Cert" -out van-c.p12<br>openssl pkcs12 -in van-c.p12 -clcerts -nokeys -info<br><br>Импортирую в IE 7 van-c.p12. Все ок, но Пишет что "Невозможно обнаружить поставщика этого сертификата." на вкладке https://www.opennet.ru/openforum/vsluhforumID10/3723.html#7 Thu, 11 Mar 2010 18:23:41 GMT Помню что проблему решил. В чем была загвоздка, счас уже точно не скажу, но тут вроде описал решение, как счас помню...<br> https://www.opennet.ru/openforum/vsluhforumID10/3723.html#6 Thu, 11 Mar 2010 15:56:58 GMT &gt;&gt;зашел по вашей ссылке, просмотрел до: <br>&gt;&gt;<br>&gt;&gt;[root]# cp mars-server.crt /etc/httpd/conf/ssl.crt <br>&gt;&gt;[root]# cp mars-server.key /etc/httpd/conf/ssl.key <br>&gt;&gt;[root]# cp my-ca.crt /etc/httpd/conf/ssl.crt <br>&gt;&gt;<br>&gt;&gt;дальше читать не стал, ибо уже тут бессмыслица <br>&gt;<br>&gt;Да, спасибо за интерес :) <br>&gt;Дату поста заметели? Оо <br><br>Да конечно :) Просто время идёт, а проблемы остаются, вот столкнулся с похожей ,вышел на вашу статью<br> https://www.opennet.ru/openforum/vsluhforumID10/3723.html#5 Thu, 11 Mar 2010 15:27:19 GMT &gt;зашел по вашей ссылке, просмотрел до: <br>&gt;<br>&gt;[root]# cp mars-server.crt /etc/httpd/conf/ssl.crt <br>&gt;[root]# cp mars-server.key /etc/httpd/conf/ssl.key <br>&gt;[root]# cp my-ca.crt /etc/httpd/conf/ssl.crt <br>&gt;<br>&gt;дальше читать не стал, ибо уже тут бессмыслица <br><br>Да, спасибо за интерес :)<br>Дату поста заметели? Оо<br><br><br> https://www.opennet.ru/openforum/vsluhforumID10/3723.html#4 Thu, 11 Mar 2010 13:45:01 GMT зашел по вашей ссылке, просмотрел до:<br><br>[root]# cp mars-server.crt /etc/httpd/conf/ssl.crt<br>[root]# cp mars-server.key /etc/httpd/conf/ssl.key<br>[root]# cp my-ca.crt /etc/httpd/conf/ssl.crt<br><br>дальше читать не стал, ибо уже тут бессмыслица<br> https://www.opennet.ru/openforum/vsluhforumID10/3723.html#3 Fri, 21 Mar 2008 21:13:41 GMT Проблема было в неправильной настройке httpd.conf и в некоректной подписи CA.<br><br>CA :<br>openssl req -new -newkey rsa:1024 -nodes -keyout ca.key -x509 -days 500 -subj /C=RU/ST=Msk/L=Msk/O=mars/OU=mars/CN=mars.in/emailAddress=admin@mars.in -out ca.crt<br><br>Сертификат Для сервера<br>openssl genrsa -des3 -out mars-server.key 1024<br>openssl req -new -key mars-server.key -out mars-server.csr -subj /C=RU/ST=Msk/L=Msk/O=mars/OU=mars2/CN=mars.in/emailAddress=admin@mars.in<br>openssl x509 -req -in mars-server.csr -out mars-server.crt -sha1 -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650<br><br>Сертификат Для Клиента<br>openssl req -new -newkey rsa:1024 -nodes -keyout client01.key -subj /C=RU/ST=Msk/L=Msk/O=mars/OU=mars1/CN=mars.in/emailAddress=admin@mars.in -out client01.csr<br>openssl ca -config ca.config -in client01.csr -out client01.crt -batch<br>openssl pkcs12 -export -in client01.crt -inkey client01.key -certfile ca.crt -out client01.p12 -passout pass:1234<br><br><br>Обязательно проверить правильность готовых сертификатов:<br>openssl https://www.opennet.ru/openforum/vsluhforumID10/3723.html#2 Fri, 21 Mar 2008 10:00:23 GMT &gt;Самоподписанные сертификаты ничего не стоят и естественно валидными не считаются. Если хотите <br>&gt;чтобы бразуеры клиентов считали ваши сертификаты валидными, то заплатите определенную сумму <br>&gt;соответствующему CA.<br><br>Необходимо подписать сертификат клиентский (van-..), чтобы он включал информацию о поставщике Сертификата.<br>Как это сделать я не знаю.<br>Сейчас он не включает. <br>Одно дело Когда Браузер пишет "нет доверия к сертификату ...", и другое, когда "не могу онаружить поставщика данного сертификата".<br>Помогите советом, гуру SSL, уже очень долго мучаюсь...<br><br><br><br><br><br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID10/3723.html#1 Fri, 21 Mar 2008 02:56:31 GMT Самоподписанные сертификаты ничего не стоят и естественно валидными не считаются. Если хотите чтобы бразуеры клиентов считали ваши сертификаты валидными, то заплатите определенную сумму соответствующему CA. <br>