Forum Debian Users Gang

Jeśli jest to tylko posredni, musisz go połączyć w łańcuch z głównym certyfikatem

W helpdesku Nazwy nie wiedzą? kasę wzięli, więc łaski nie robią.

Ja zawsze przed zakupem certu patrzę w dokumentacji, czy do planowanych serwerów pasuje.

Poza tym na Lighttpd czy Apachu też świruje, czy tylko Nginx miewa takie humory?

Ostatnio edytowany przez Jacekalex (2016-08-17 18:00:36)

Certyfikat musi być na zewnętrznej maszynie, nie za proxy.
Poza tym jakieś logi Nginxa albo wynik

openssl s_client ....

by się przydały.

Przy okazji, nie musiałeś kupować certu, ja kiedyś w home zrobiłem taką awanturę, że poskarżyli się mojemu
i ich klientowi, na co usłyszeli, od klienta, że jego admin w całym życiu bardziej pojebanego hostingu nie widział,
i dostał radę, żeby brać dowolny, byle nie home bo gorszego gówna niż home w kosmosie po prostu nie ma.
Wtedy zrobili się grzeczniejsi,  a do mnie napisał jakiś kierownik, żeby jeszcze raz dokładnie opisać istotę problemu...
Napisałem ją otwartym tekście na stronie (index.html) i dałem mu sznurka, natychmiast pomogło. :D

Następnym razem weź bat, płonące kółko, potem wytresuj klienta w przedmiocie kupowania certu zanim zrobi coś głupiego. xD

EDIT:
Rzuć okiem na to:
https://www.8px.pl/nazwa-pl-i-problem-z-certyfikatem-ssl/
https://www.8px.pl/ssl-nazwa-pl-nginx-czesc-2/

Ostatnio edytowany przez Jacekalex (2016-08-17 19:43:34)

Zaczyna się jeszcze ciekawiej...
Żeby nie było, że coś pomyliłem:

mam plik z certyfikatem klienta (certyfikat.crt) i klucz (klucz.txt)
mam zipa z nazwa.pl, po rozzipowaniu mam:
gsca.crt
ca.crt
nazwassl.cer
Robię sobie:

openssl x509 -inform der -in gsca.crt gsca.pem
openssl x509 -inform der -in ca.crt ca.pem

Kopiuję nazwassl.cer do nazwassl.crt i wycinam wszystko aż do początku certyfikatu
Robię następnie:

cat certyfikat.crt gsca.pem ca.pem nazwassl.crt > efekt.crt

pliki efekt.crt i klucz.txt kopiuję we właściwe miejsce, określone w konfiguracji serwera.
service nginx configtest nie zgłasza problemów
service nginx restart takoż
W efekcie mam na firefoksie ostrzeżenie przed nieznanym wystawcą.
Ale...
Wchodzę na stronę nazwa.pl - i nagle wszystko zaczyna działać!
Po usunięciu cert8.cb i restarcie Firefoksa wraca do normy (tzn. do niedziałania).
Ktoś mnie oświeci gdzie tu jest babol? Bo naprawdę pierwszy raz mam takie jaja i szczerze mówiąc nie mam pojęcia co robić.

Normalnie nic mi nie pokazuje (bo nie ma połączenia), jeśli zrobię wyjątek to mam wszystkie. To samo po wejściu na nazwę - pokazuje ślicznie cały łańcuch.

Więcej czasu zmarnujesz na gimnastykę z tym zjebanym nazwacertem, niż wynosi realna wartość któregoś z tych certów:
StartSSL™ Identity Validation
StartSSL™ Organization Validation

Te przynajmniej działają dosyć grzecznie.

Tu z resztą masz tutki:
https://www.startssl.com/Support?v=20

Nazwa widocznie nie sprzedała ani jednego certyfikatu od wielu lat, dlatego w ogóle nie wie, jak one działają, albo poziom korporacyjnego kretyństwa już tam przekroczył wszelkie dopuszczalne normy, co jest dosyć powszechne w dużych firmach.

Pozdro

PS:
Wyślij sznurek do tego wątku do jakiegoś ważniaka z Nazwy, to może poszuka lepszych  speców od generowania certów. Z infopracy się dowiemy, ile znajdą administratorów i programistów z grupą inwalidzką. xD

Ostatnio edytowany przez Jacekalex (2016-08-19 19:23:41)