https://opennet.me/openforum/vsluhforumID8/5888.html Всем привет, прошу помоч мне. дело в том что поставил Apache22+ssl на машину ОС FreBSD 7.0, создал ключи, разкинул их куда нужно, всьо вроде ок. настроил httpd.conf, httpd-ssl.conf, запустил: apachectl start<br>[Wed Jul 23 18:04:02 2008] [warn] (2)No such file or directory: Failed to enable the 'httpready' Accept Filter<br>[Wed Jul 23 18:04:02 2008] [warn] (2)No such file or directory: Failed to enable the 'httpready' Accept Filter<br>Apache/2.2.6 mod_ssl/2.2.6 (Pass Phrase Dialog)<br>Some of your private key files are encrypted for security reasons.<br>In order to read them you have to provide the pass phrases.<br><br>Server test.ru:443 (RSA)<br>Enter pass phrase:<br><br>OK: Pass Phrase Dialog successful.<br><br>что за ошибка ? подскажите !<br> https://opennet.me/openforum/vsluhforumID8/5888.html#16 Fri, 25 Jul 2008 08:14:20 GMT <br>- Данный узел использует устаревший метод шифрования, который определен как небезопасный. Он не может надежно защитить критические данные. Продолжить?<br>- Сервер использует короткий открытый ключ шифрования, который считается небезопасным.<br><br>ет как-то мона паправить ?<br><br><br> https://opennet.me/openforum/vsluhforumID8/5888.html#15 Thu, 24 Jul 2008 21:14:07 GMT У меня нет ни того, ни другого, так что помочь не могу. Спросите у гугла. <br> https://opennet.me/openforum/vsluhforumID8/5888.html#14 Thu, 24 Jul 2008 20:59:45 GMT &gt;Конечно можно,в коньке например открываешь configure-&gt;crypto-&gt;ssl signers и импортишь туда нужный корневой сертификат. Только боюсь в разных браузерах по разному будет.<br><br>Ни в опере ни в Иексплорере не нашел подобных папок (<br> https://opennet.me/openforum/vsluhforumID8/5888.html#13 Thu, 24 Jul 2008 20:49:33 GMT Конечно можно,в коньке например открываешь configure-&gt;crypto-&gt;ssl signers и импортишь туда нужный корневой сертификат. Только боюсь в разных браузерах по разному будет.<br> https://opennet.me/openforum/vsluhforumID8/5888.html#12 Thu, 24 Jul 2008 20:42:27 GMT &gt;&gt;что с ним делает такого организация, которая подписывает, чего не могу зделать я ?<br>&gt;<br>&gt;Во первых, посылается не сертификат а запрос. Во-вторых, у вас нет их <br>&gt;ключа и как следствие вы не можете подписать ихним CA свой <br>&gt;сертификат. Браузеры и другие программы работающие с сертификатами знают определенный набор <br>&gt;CA, которые считаются доверенными. Разумеется этот набор отличается от версии к <br>&gt;версии и поэтому молодые CA предоставляют свой корневой сертификат подписанный более <br>&gt;старым(и как следствие известным) CA, чтобы браузеры смогли по цепочке проверить. <br>&gt;<br>&gt;И ваще http://httpd.apache.org/docs/2.2/ssl/ssl_faq.html <br><br>значит ключ (РОЗГАДКА) в самом браузере ... следствие, можно внести изменение в браузер, для того чтобы он определял сертификат как действительный...хотябы на одной машыне ) <br> https://opennet.me/openforum/vsluhforumID8/5888.html#11 Thu, 24 Jul 2008 20:30:37 GMT &gt;что с ним делает такого организация, которая подписывает, чего не могу зделать я ?<br><br>Во первых, посылается не сертификат а запрос. Во-вторых, у вас нет их ключа и как следствие вы не можете подписать ихним CA свой сертификат. Браузеры и другие программы работающие с сертификатами знают определенный набор CA, которые считаются доверенными. Разумеется этот набор отличается от версии к версии и поэтому молодые CA предоставляют свой корневой сертификат подписанный более старым(и как следствие известным) CA, чтобы браузеры смогли по цепочке проверить. <br>И ваще http://httpd.apache.org/docs/2.2/ssl/ssl_faq.html<br> https://opennet.me/openforum/vsluhforumID8/5888.html#10 Thu, 24 Jul 2008 20:20:08 GMT - Сертификат для "ццц.ккк" подписан неизвестным поставщиком сертификатов "Уууу Ккккк CA".Невозможно проверить, является ли данный сертификат действительным.<br><br>где оно проверяло, если комп в локалке ? можно както имитировать ето место для подтверждения сертификата действительным !!! но вопрос: есть ли для етого известные средства ?<br> https://opennet.me/openforum/vsluhforumID8/5888.html#9 Thu, 24 Jul 2008 20:17:09 GMT &gt;&gt;Тоже вариант, создаешь корневой сертификат и корневой приватный ключ, затем делаешь запрос <br>&gt;&gt;на подпись сертификата для какой либо станции, затем с помощью корневого <br>&gt;&gt;сертификата и запроса создаешь уже сертификат для какого-либо сервака. <br>&gt;&gt;<br>&gt;&gt;Если лень все руками писать, то есть уже готовый скрипт /etc/ssl/misc/CA.sh <br>&gt;<br>&gt;понятно. но серовно..когдато цепочка остановится...вот я об етом. как имитировать ето место <br>&gt;? допустим, я отослал сертификат на подпись. что с ним <br>&gt;делает такого организация, которая подписывает, чего не могу зделать я ? <br>&gt;<br><br>Ты отсылаешь ЗАПРОС на сертификат :) Они тебе присылают сертификат, сгенеренный и подписанный ими<br> https://opennet.me/openforum/vsluhforumID8/5888.html#8 Thu, 24 Jul 2008 20:12:32 GMT &gt;И толку? Все равно сертификаты проверяются по цепочке. Есть список доверенных CA, <br>&gt;те CA, что ими подписаны, тоже считаются доверенными. Сертификат подписанный доверенным <br>&gt;CA считается "действительным". В противном случае(то есть в цепочке ни одного <br>&gt;доверенного CA) выдается предупреждающее сообщение, другое дело что его можно смело <br>&gt;игнорировать. Процедура создания CA и самоподписанных сертификатов хорошо описана в доке <br>&gt;апача. <br><br>Дак это понятно :) Он же говорит создать свой собственный локальный CA :) Понятное дело, что всякие FF, Opera и прочие не знают об этом "чудо центре сертификации" и им нужно корневой сертификат добавить в список доверенных. Это само собой<br>