| / домой \ | \ темы / |
| 26/09/2019 14:12 kinsler: |
| Привязана библиотека seclib.dll без конфигурационного файла. Есть купленный сертификат: 1. file.csr - кажется не нужен 2. file.key - Key file, согласно настройкам сервера 3. file.crt - собственно файл сертификата 4. file.ca-bundle - речь об этом. я так и не могу понять куда его пристроить. С файлами 2 и 3 ssl работает. Но firefox нагло говорит что защита слабая. Может подскажете как быть? |
| 26/09/2019 14:14 kinsler: |
| Кстати, здесь на сайте указанные e-mail не работают. Радостно сообщают что сообщение не доставлено ибо Спам.
|
| 26/09/2019 17:55 Max: |
| file.csr - не нужен file.ca-bundle это вероятно ca файл того кто подписал ваш сертификат. Его нужно положить в каталог указанный в опции CA-Path, а в настройке CA-file указать ваш собственный ca файл, который использовался когда вы гнгерировали file.csr. Это настройки библиотеки OpenSSL, смотрите документацию по ней. У меня никогда не было купленного сертефиката, но как я себе это представляю: Сначала генерируется ваш ca файл, командой openssl req -nodes -new -x509 -keyout ca.key -out ca.crt -days 3650 ca.key должен быть помещен в ssl/ca/private/ ca.crt в ssl/ca/ Затем генерируется запрос на сертефикат: openssl req -nodes -new -keyout srt.key -out srt.csr -days 3650 Затем этот запрос шлется тому кто его подписывает, или можно подписать самому командой openssl ca -out srt.crt -in srt.csr -days 3650 -crldays 3650 |
| 26/09/2019 17:59 Max: |
| На какой странице не работающий E-mail? Почта max (друг человека) smallsrv.com и max (друг человека) lsol.ru работают, спама на них приходит немеренно, фильтрую как могу...
|
| 27/09/2019 01:48 kinsler: |
| support@ - на него сперва писал, потом уже на max@. Ответ был таков: 551 Message detected as SPAM. If not, try smallsrv.com/sm.cgi to send it со "стандартным" заголовком письма "Delivery Status Notification (Failure)" lsol.ru в контактах не видел |
| 27/09/2019 02:14 kinsler: |
| Относительно сертификата... Мой хостинг - домашний компьютер компьютер с Windows 7. Файл и путь пытался указать. Получается кучка ошибок ssl, если оставляю только key и crt - ошибок нет, но и сертификат работает в минимальной защите. В поддержке мне сказали: 1) "Проблема в том, что вы не установили корневой и промежуточные сертификаты". 2) .ca-bundle "это цепочка сертификата". |
| 27/09/2019 02:23 kinsler: |
| Вот так получается, если указать путь и .ca-bundle: Load shs_lang.cfg; 42273 Small HTTP Server ver. 3.06.03 by Max Feoktistov E-mail: support[ dog ]smallsrv.com (C) 1999-2019 Root dir=c:\shttps\ip def=index.* port=80 Number of connections=16 FTP port=21 Number of connections=8 Securety library, based on OpenSSL 0.9.6j Library Copyright (C) 1995-1998 Eric Young (eay[ dog ]cryptsoft.com) This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit. (www.openssl.org/) This product includes cryptographic software written by Eric Young (eay[ dog ]cryptsoft.com). This product includes software written by Tim Hudson (tjh[ dog ]cryptsoft.com). This product includes software written by Dr Stephen N Henson (shenson[ dog ]bigfoot.com). OpenSSL error: lib=2 func=1 reason=2 * line=0 OpenSSL error: lib=32 func=109 reason=2 * line=0 OpenSSL error: lib=11 func=132 reason=2 * line=0 X509 load verify locations OpenSSL error: lib=2 func=1 reason=2 * line=0 OpenSSL error: lib=32 func=116 reason=2 * line=0 TLS/SSL port=443 Number of connections=16 |
| 28/09/2019 17:22 Max: |
| Не могу сказать точно, сам не пробовал, но как сказали в поддержке, видимо да, в каталог указанный в CA-Path нужно установить все сертефикаты из цепочки. Файл .ca-boundle содержит несколько сертефикатов посредников. Возможно их нужно положить отдельными файлами, и тот сертефикат которым непосредственно подписан ваш сертефикат (он первый в файле) указать как CA-file. Как вариант, можно попробовать подписать этот сертефикат своим .ca и использовать свой ca как CA-file. |
| 30/09/2019 02:31 kinsler: |
| Попробовал сохранять в разные файлы. Без результата. Оставил как есть, со слабым шифрованием. Может однажды найдется человек, который смог использовать параметры ca-Path и ca-file =( |
| 03/10/2019 03:39 kinsler: |
| Возвращаясь и суммируя полученную информацию. Что имею - файлы сертификата .crt и .key; секция CA проигнорирована. По обозревателям это выглядит так: Opera довольна и значёк зеленый. Chrome, IE - без претензий, шифрование работает. Firefox - значёк серый - слабое шифрование. Windows7, seclib.dll без файла настроек. Кто не хочет страдать с самоподписанным сертификатом, можно получить бесплатный на 3 месяца (а потом снова и снова...) www точка sslforfree точка com. |
| 14/10/2019 20:00 Max: |
| Как выяснилось www.sslforfree.com это надстройка запрашивающая сертефикаты у letsencrypt.org/ Получить от них бессплатный сертефикат оказалось не так-то просто. Для этого пришлось добавить поддержку CAA записей к DNS-у и сами эти записи... Но так или иначе я это сделал, под Linux-ом сертефикат заработал почти сразу, а вот чтобы сертефикат заработал в Windows версии пришлось пересобрать SECLIB библиотеку с OpenSSL 1.02. С новой библиотекой работает, файл file.ca-bundle надо указать как CA-file |