Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Installare certificati SSL firmati da CA

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
claudio



Registrato: 14/09/09 20:11
Messaggi: 7

MessaggioInviato: Dom Ott 10, 2010 10:14 pm    Oggetto: Installare certificati SSL firmati da CA Rispondi citando

Ho creato una chiave RSA e l'ho fatta firmare da una CA riconosciuta da firefox di linux (e probabilmente anche da chrome e safari). Non viene riconosciuta dal firefox di windows, ma da explorer sì.
La soluzione dovrebbe essere di modificare in maniera appropriata /etc/httpd/conf/ssl.conf, configurando le righe:

SSLCertificateChainFile /etc/httpd/conf/ssl.crt/sub.class1.server.ca.pem
SSLCACertificateFile /etc/httpd/conf/ssl.crt/ca.pem

seguito da un reboot.
Nel crontab c'è l'istruzione di copiare i file suddetti nel preboot, quindi le modifiche si possono dire "permanenti".
Tuttavia, il firefox di windows non digerisce il certificato.

Per farlo digerire devo prima collegarmi ad un sito che utilizza la stessa CA, con la stessa classe, e solo dopo accetta il certificato senza segnalazioni di certificato inaffidabile. Una cosa abbastanza insensata.

L'obbiettivo sarebbe proteggere con SSL il captive portale, ma mi interessa già proteggere l'https della pagina di configurazione.

PS
La questione del captive portal è leggermente più spinosa.
Al momento dello scambio del certificato, il browser va a collegarsi al server OCSP per scaricare i certificati revocati. Ma siccome non è ancora in grado di collegarsi al server, entra in loop. Dopo qualche minuto, il browser capisce che il certificato va comunque bene e finalmente mostra la pagina di login.
Ho risolto guardando con tcpdump che DNS ha questo server OCSP e ho configurato una zona nel DNS facendo puntare ocsp.IP_CA a 127.0.0.1.

Data l'ora, e il numero molto alto di tentativi, sono stanco. Se il post non è perfettamente chiaro, c'è un motivo.
Ho provato a guardare negli archivi, ma non mi pare di aver trovato niente di attinente.

Claudio
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it