Начало Към постинга

Новина от дневника:

/5.7.2017, 14:08/ 

1. след като издадох self-signed certificate за вивалдито с включено поле subjectAltName се оказа че Файърфокса не ще да го приема. ФФ чете собствения си оторити регистър и според него този сертификат не е добър и се налага да цъкам "Add exception". Не ме кефи така.

Затова изоставих този сертификат и се върнах към вчерашния ми опит за пълен certificate chain.

направих си CA .pem файл с О=NBI Localhost CA, CN=localhost

после пуснах certlm.msc (certificate manager за local machine на windows) и импортирах ca.pem файла.

2.

след това си издадох клиентски сертификат (crt & key) издаден от това ново CA с включено поле subjectAltName. (важно: countryName трябва да е същото като в CA, при правенето на клиентската заявка записах bg с малки букви и то се оплака; предполагам, че и останалите полета трябва да съвпадат)

инсталирах го на апачи сървъра (подмених му crt и key файла, които вече имах за localhost).

вивалди веднага прие браузването на https://localhost без проблем.

3.

фф не го прие.

за да излъжа фф да го преглътне се наложи да импортирам като certification authority в реистъра му. Да, ама не. ФФ не се оплака, но и не го добави. След дълго размишление и лутане се загледах и реших, че то може би си мисли, че като му давам .crt файл, очаква в него да има pkcs #12 формат, а моя .crt съдържаше PEM формат. За да се сдобия с друг формат отидох в certlm.msc и експортирах вече инсталирания ca.pem като ca.cer. След импорта в CAuthorities на ФФ и той прие localhost сертификата без оплаквания.

п.с. лакмуса за успех дали импорта на оторити във ФФ е, че той пита дали да се доверява на сертификати от това оторити относно web, mail или software (т.е. излиза джамче с цъканки). Ако не успее да импортне CA не пита нищо или се оплаква.

4.

в последствие се оказа без значение в какъв вътрешен формат, pem, der или p7b експортирам от уиндоус - всички се импортираха без проблем във ФФ. Това е странно, защото pem файла, който му дадох изгенериран от openssl не бе приет, а pem файла експортиран от certlm.msc беше приет. След сравнение се оказа, че са почти напълно еднакви с едно изключение: в оригиналния пише BEGIN/END TRUSTED CERTIFICATE, а в другия пише BEGIN/END CERTIFICATE. ФФ се объркваше от това допълнително TRUSTED.

 

 

Коментари:

Засега няма коментари касаещи тази новина.

Вашият коментар:

Име:
Сайт:
Допустими тагове:

<b> <i> <big> <pre>
[youtube]youtube_video_id[/youtube]
[vbox7]vbox7_video_id[/vbox7]
[img500]imgurl[/img500]