Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2020-02-06 18:58:40

  krzys - Użytkownik

krzys
Użytkownik
Zarejestrowany: 2008-09-19

Certyfikat SSL Fortigate

Witam, pewnie lamerskie
potrzebuję zainstalować certyfikat SSL urządzenia Fortigate w systemie. Na brzegu sieci stoi UTM, który rozszyfrowuje każde połączenie, sprawdza i szyfruje swoim certyfikatem. Nie ma problemu z przeglądarką czy klientem poczty, dodanie certyfikatu SSL do magazynu aplikacji, rozwiązuje problem. Kłopot pojawia się jeśli potrzebuję pobrać np. z gita (git clone). W Windows instalacja certyfikatu np. poprzez IE lub przystawki mmc, a w przypadku debiana?
Dzięki z góry za wszystkie sugestie.

Ostatnio edytowany przez krzys (2020-02-06 19:07:18)

Offline

 

#2  2020-02-06 19:51:27

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Certyfikat SSL Fortigate

Skopiuj cert do

Kod:

/etc/ssl/certs/

i nadaj mu uprawnienia 644 i  atrybut blokujący

Kod:

chmod 644 /etc/ssl/certs/mooj_zajebisty_cert.pem
chattr +i /etc/ssl/certs/mooj_zajebisty_cert.pem

żeby się nie ulotnił po aktualizacji certyfikatów (co mnie się kilka razy przydarzyło).

Powinno radykalnie pomóc.

Ostatnio edytowany przez Jacekalex (2020-02-06 19:58:22)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2020-02-06 20:01:51

  krzys - Użytkownik

krzys
Użytkownik
Zarejestrowany: 2008-09-19

Re: Certyfikat SSL Fortigate

Dziękuję, jest git.

edit:
Aczkolwiek nie do końca, git clone działa a wget problem

Kod:

wget https://raw.githubusercontent.com/superpakiet
--2020-02-06 20:05:35--  https://raw.githubusercontent.com/superpakiet
Translacja raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.12.133
Łączenie się z raw.githubusercontent.com (raw.githubusercontent.com)|151.101.12.133|:443... połączono.
BŁĄD: błąd kontroli certyfikatu dla raw.githubusercontent.com, wystawionego przez `emailAddress=support@fortinet.com,CN=FGT***************,OU=Certificate Authority,O=Fortinet,L=Sunnyvale,ST=California,C=US':
  Błąd lokalnej kontroli centrum certyfikacji.

Ostatnio edytowany przez krzys (2020-02-06 20:10:32)

Offline

 

#4  2020-02-06 20:12:34

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Certyfikat SSL Fortigate

git załapal a wget nie?
Ciekawe.

odbuduj cache certów:

Kod:

update-ca-certificates

żeby  dodał Twój cert do bazy:

Kod:

/etc/ssl/certs/ca-certificates.crt

tylko nie próbuj tam dopisywać ręcznie, bo może zaboleć. :P

Ostatnio edytowany przez Jacekalex (2020-02-06 20:16:40)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2020-02-06 20:21:01

  krzys - Użytkownik

krzys
Użytkownik
Zarejestrowany: 2008-09-19

Re: Certyfikat SSL Fortigate

ciemno

Kod:

wget https://raw.githubusercontent.com/superpakiet
--2020-02-06 20:19:05--  https://raw.githubusercontent.com/superpakiet
Translacja raw.githubusercontent.com (raw.githubusercontent.com)... 199.232.16.133
Łączenie się z raw.githubusercontent.com (raw.githubusercontent.com)|199.232.16.133|:443... połączono.
BŁĄD: Żaden certyfikat nie został przedstawiony przez `raw.githubusercontent.com'.
BŁĄD: Certyfikat `raw.githubusercontent.com' nie ma znanego wystawcy.

Ostatnio edytowany przez krzys (2020-02-06 21:21:01)

Offline

 

#6  2020-02-06 20:22:42

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Certyfikat SSL Fortigate

tylko wget się pluje, czy np curl też? aria2c też? axel też?
Możesz odpalać wgeta z opcją --no-check-certificate.
albo wyłączyć sprawdzanie certyfikatów w pliku konfiguracyjnym:

Kod:

echo "check_certificate = off" >>/etc/wgetrc

Ostatnio edytowany przez Jacekalex (2020-02-06 20:29:01)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#7  2020-02-06 20:27:29

  krzys - Użytkownik

krzys
Użytkownik
Zarejestrowany: 2008-09-19

Re: Certyfikat SSL Fortigate

Tak, wiem, że wget mogę wywołać z no-check-certificate
aria i axel nie używam,

edit:

Kod:

aria2c https://raw.githubusercontent.com/snipe/snipe-it/master/install.sh

02/06 20:30:17 [NOTICE] Downloading 1 item(s)

02/06 20:30:17 [ERROR] CUID#7 - Download aborted. URI=https://raw.githubusercontent.com/superpakiet
Exception: [AbstractCommand.cc:351] errorCode=1 URI=https://raw.githubusercontent.com/ssuperpakiet
  -> [SocketCore.cc:1015] errorCode=1 SSL/TLS handshake failure:  `not signed by known authorities or invalid' `issuer is not known'

02/06 20:30:17 [NOTICE] Download GID#4f*******************4 not complete: 

Wyniki Pobierania:
gid   |stat|avg speed  |path/URI
======+====+===========+=======================================================
4fac32|ERR |       0B/s|https://raw.githubusercontent.com/superpakiet

Legenda Statusu:
(ERR): wystąpił błąd.

aria2 wznowi pobieranie jeśli transfer zostanie zrestartowany.

Ostatnio edytowany przez krzys (2020-02-06 20:52:34)

Offline

 

#8  2020-02-06 20:30:22

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Certyfikat SSL Fortigate

krzys napisał(-a):

Tak, wiem, że wget mogę wywołać z no-check-certificate
aria i axel nie używam,

Zawsze możesz zacząć. :P

albo wyłączyć sprawdzanie certów w wgecie przez globalny plik konfiguracyjny:

Kod:

echo "check_certificate = off" >>/etc/wgetrc

lub lokalny usera

Kod:

echo "check_certificate = off" >> $HOME/.wgetrc

Ostatnio edytowany przez Jacekalex (2020-02-06 20:33:24)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#9  2020-02-06 20:33:09

  krzys - Użytkownik

krzys
Użytkownik
Zarejestrowany: 2008-09-19

Re: Certyfikat SSL Fortigate

zacząłem ;), rzuć okiem wyżej

Offline

 

#10  2020-02-06 20:34:56

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Certyfikat SSL Fortigate

Może w buforze Twój cert się nie zapisał albo w RAM siedzi stara wersja.
Próbowałeś restartować kompa po aktualizacji bazy certów?

Czy ten cert, który dodałeś, ma format PEM zakodowany BASE64, czy postać binarną?

Ostatnio edytowany przez Jacekalex (2020-02-06 20:38:14)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#11  2020-02-06 20:37:58

  krzys - Użytkownik

krzys
Użytkownik
Zarejestrowany: 2008-09-19

Re: Certyfikat SSL Fortigate

To maszyna wirtualna, restart poszedł szybko, jednak to samo co wyżej
rozszerzenie *.cer - standard X.509
format pem czyli:

Kod:

-----BEGIN CERTIFICATE-----
....
-----END CERTIFICATE-----

Tak na marginesie fortinet ma problem z SSL, gdyż w niektórych konfiguracjach w FOS 6.2 potrafi sam się zablokować i nie pobiera aktualizacji z serwerów. Nie pomaga dodanie wyjątku w politykach.

Dziękuję za pomoc, to co potrzebowałem osiągnąłem. Z wget czy aria2c jednak problem pozostał.

edit:

Jacekalex napisał(-a):

odbuduj cache certów:
... żeby  dodał Twój cert do bazy:

Kod:

/etc/ssl/certs/ca-certificates.crt

tylko nie próbuj tam dopisywać ręcznie, bo może zaboleć. :P

update-ca-certificates nie dodał certyfikatu FGT* do ca-certificates.crt, przeszukałem i nie ma go tam, w /etc/ssl/certs oczywiście jest

Kod:

Updating certificates in /etc/ssl/certs...
0 added, 0 removed; done.

Ostatnio edytowany przez krzys (2020-02-06 21:39:16)

Offline

 

#12  2020-02-08 07:12:02

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Certyfikat SSL Fortigate

Wget jest e Debianie kompilowany ze wsparciem gnutls a nie openssl, może to jest przyczyna, dla której git chodzi, wget nie.
Aria2 też używa gnutls,

EDIT:
Gnutls w Debianie sprawdza tylko CA w pliku:

Kod:

/etc/ssl/certs/ca-certificates.crt

Być może cert fortinetu będzie trzeba tam dokleić.
możesz spróbować tak:

Kod:

cat /etc/ssl/certs/mooj-zajebisty_cert.pem  >> /etc/ssl/certs/ca-certificates.crt

EDIT:
tu masz lepsiejszy tutek dotyczący certów:
https://superuser.com/questions/437330/how-do-you-a … -ca-to-ubuntu

Co sprowadza się do skopiowania certu do

Kod:

/usr/share/ca-certificates/

nadania mu nazwy z rozszerzeniem .crt
i potem

Kod:

update-ca-certificates

Ostatnio edytowany przez Jacekalex (2020-02-08 07:43:11)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#13  2020-02-16 21:14:41

  krzys - Użytkownik

krzys
Użytkownik
Zarejestrowany: 2008-09-19

Re: Certyfikat SSL Fortigate

Jacekalex napisał(-a):

tu masz lepsiejszy tutek dotyczący certów:
https://superuser.com/questions/437330/how-do-you-a … -ca-to-ubuntu

Co sprowadza się do skopiowania certu do

Kod:

/usr/share/ca-certificates/

nadania mu nazwy z rozszerzeniem .crt
i potem

Kod:

update-ca-certificates

Musiałem wrócić do tematu. To rozwiązanie również znalazłem w sieci. Nie wiadomo czemu, u mnie nie zadziałał. Certyfikat nie dodawał się do repozytorium certyfikatów.
Za to poniższy brutalny sposób zadział i wget pobiera. Czasem okazuje się, że najprostsze metody działają.

Kod:

cat /etc/ssl/certs/mooj-zajebisty_cert.cer (*.crt)  >> /etc/ssl/certs/ca-certificates.crt

Dziękuję.

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)