Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Certificato SSL esterno - Installazione

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
kerby



Registrato: 30/10/07 09:18
Messaggi: 22

MessaggioInviato: Lun Set 01, 2008 4:35 pm    Oggetto: Certificato SSL esterno - Installazione Rispondi citando

Ciao Fulvio,

sto cercando di installare un certificato SSL esterno, in modo da eliminare il warning dei browsers.
Il root certificate (che trovo sul sito gestore dei certificati) lo devo mettere nella sezione Trusted CAs?
Dopo aver processato il CSR sul sito gestore dei certificati dove devo mettere la risposta?
Ci sono istruzioni su come installare un certificato commerciale o libero (come cacert.org)?
Grazie,
Kerby
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Set 03, 2008 3:55 pm    Oggetto: Rispondi citando

Non conosco le procedure con cui cacert.org rilascia i certificati. Comunque, generalmente, cio' che accade quando effettui una CSR è:

- Effettui la CSR con un browser web;
- Il browser genera una coppia di chiavi asimmetriche e conserva al sicuro quella privata, mentre inoltra quella pubblica completa dei tuoi dati identificativi e di altre informazione alla CA. La CA genera il certificato X.509 e ti manda un link da cui scaricarlo;
- Il tuo browser riunisce la chiave pubblica e quella privata e le conserva nel suo archivio dei certificati. Per questo motivo è importante scaricare il certificato con lo stesso browser con cui si fa la CSR.

A questo punto devi esportare il certificato e la chiave pubblica in formato pem (codifica base64). Fallo senza passphrase di protezione, tanto comunque quando importi la chiave privata e il certificato in Zeroshell essi viaggiano comunque criptati in HTTPS. Distruggi poi il file una volta effettuata l'importazione.

L'importazione avviene da [X.509 CA] selezionando il modulo per l'importazione di certificati esterni. Per fare le cose per bene carica anche il certificato della CA che ti ha firmato il certificato nell'archivio delle Trusted CA sempre da [X.509 CA] di Zeroshell.

Fatto tutto ciò tutti i servizi di Zeroshell che necessitino di autenticare e cifrare tramite SSL/TLS (RADIUS con 802.1x, VPN IPSec e OpenVPN, Captive Portal, HTTPS, ...) potranno sfruttare il certificato importato. Ovviamente dovrai impostare ogni singolo servizio a usare quel certificato invece di quello di default.

Saluti
Fulvo
Top
Profilo Invia messaggio privato
kerby



Registrato: 30/10/07 09:18
Messaggi: 22

MessaggioInviato: Gio Set 04, 2008 11:06 am    Oggetto: Rispondi citando

Ciao Fulvio,

> Quello che ho cercato di fare è quanto segue:
>
> utilizzando keytool Java ho creato il keystore, ho poi
> importato il CA cacert.org nel keystore.
> Successivamente usando Keytool IUI ho creato una Private
> key. Mi ha chiesto, fra le altre cose, il common name che
> nel test è ncdorms.fc.edu Sempre con Keytool IUI ho
> esportato la Certificate Signing Request. In Cacert.org ho
> processato il CSR ed ho scaricato la risposta.
> In Zeroshell ho importato la CA. Quello che è strano è che
> se vado a vedere le proprietà del certificato in Microsoft
> Explorer mi dice che il certificato è rilasciato (Issued
> by) ncdorms.fc.edu e non da CA Cert Signing Authority come
> invece dovrebbe essere. Di conseguenza, anche se sul
> client WinXP ho installato il root CA Cacert, Explorer (o
> Firefox) mi segnala che ci sono problemi con il
> certificato. È come se Zeroshell abbia accetato il
> certificato ma nello stesso tempo l'abbia generato.

Non mi sembra che con Cacert posso usare un browser web per effettuare la richiesta, devo usare un tool come keytool di Java.
Una volta estrapolato il CSR dal keystore posso fare un copia incolla sul sito ed in seguito scaricare il certificato.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Gio Set 04, 2008 1:38 pm    Oggetto: Rispondi citando

Immagino che il formato sia base64. Percio' copia e incollalo in un file .pem.
Ti accorgi che è codificato Base64 se il testo codificato è racchiusoi tra -----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

Ciao
Fulvio
Top
Profilo Invia messaggio privato
kerby



Registrato: 30/10/07 09:18
Messaggi: 22

MessaggioInviato: Lun Set 08, 2008 3:44 pm    Oggetto: Certificato SSL - Use CN to redirect Rispondi citando

Ciao Fulvio,

sono riuscito a far funzionare SSL per le pagine web. Il problema era che non avevo caricato il certificato in Import.

Ora ho un altro problemino.

Ho spuntato "Use CN to redirect", in questo modo si dovrebbero evitare segnalazioni di certificato non valido. È possibile configurare zeroshell per risolvere il nome di dominio in indirizzo IP senza l'uso di un DNS esterno?

Il problema è che il Captive Portal tenta il reindirizzamento sul nome (grazie a Use CN to redirect) ma poi il browser si perde perchè non può risolverlo.

Grazie.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Lun Set 08, 2008 7:24 pm    Oggetto: Rispondi citando

Creati nel DNS una zona corrispondente al dominio e aggiungi un host (Record A) con l'IP del Captive Portal. Purtroppo pero' i tuoi client non riusciranno più a risolvere gli altri host di quel dominio a mno che tu non gli aggiungi alla zona creata.

Saluti
Fulvio
Top
Profilo Invia messaggio privato
kerby



Registrato: 30/10/07 09:18
Messaggi: 22

MessaggioInviato: Gio Set 18, 2008 8:15 am    Oggetto: Funziona tutto... solo un problemino con Mozilla Firefox 3 Rispondi citando

Ciao Fulvio,

grazie! Funziona tutto, ho creato la zona e le A entries.
Ho solo un problemino con il certificato.
In Microsoft Explorer non ci sono problemi ma con Mozilla Firefox 3 quando l'utente carica il captive portal tutto ok, il problema e' con la finestra che dice che l'utente e' connesso. Compare un warning che dice 192.168.0.75:12083 uses an invalid security certificate. The certificate is only valid for <a id="cert_domain_link"title="nome.dominio">nome.dominio</a>

(Error code:ssl_error_bad_cert_domain)

Quando si clicca su OK la finestrella mostra il link con il nome e non con l'IP e se vado a vedere le proprieta' del certificato cliccando sul lucchetto mi dice che tutto e' in ordine. L'errore e' solo al momento della creazione della finestrella.

Come posso eliminare questo warning?

Grazie.
Top
Profilo Invia messaggio privato
kerby



Registrato: 30/10/07 09:18
Messaggi: 22

MessaggioInviato: Mer Ott 01, 2008 8:59 am    Oggetto: Certificate Warning e Authenticator Validity Rispondi citando

Ciao Fulvio,

ho notato che il warning in Firefox 3 ricompare ogni volta che l'Authenticator deve rinnovare la validità. Nel warning compare sempre l'IP number al posto del CN.
Aumentando la durata nel Captive Portal si può minimizzare il problema che però rimane al momento del login da parte dell'utente.

Ciao, grazie

Kerby.
Top
Profilo Invia messaggio privato
kerby



Registrato: 30/10/07 09:18
Messaggi: 22

MessaggioInviato: Ven Ott 17, 2008 4:32 pm    Oggetto: Certificato esterno e Mozilla Firefox 3 Rispondi citando

Ciao Fulvio,

ho avuto modo di provare la beta 11 e il problema del certificato in Firefox 3 e' risolto. Fino ad oggi usavo la beta 10.

Grazie e ancora una volta complimenti...

Ciao,

Kerby.
Top
Profilo Invia messaggio privato
giancagianca



Registrato: 14/08/07 20:10
Messaggi: 320

MessaggioInviato: Ven Ott 17, 2008 11:53 pm    Oggetto: Rispondi citando

Ciao Fulvio

Riguardo la registrazione degli host in una zona ho fatto sia un batch file x win sia uno script per linux che registrano gli host sul dns. Non l'ho mai provato con zs ma funziona a patto che la zona sia creata come dinamica. L'ho fatto in quanto è un po una pizza crearsi i record per tutti gli host presenti su una rete .Tra le altre cose gli host windows (anche abilitando la registrazione nel dns) in abbinamento ad un dns gestito con bind non si registrano (almeno usando ip fissi con dhcp si può fare). Se serve a qualcuno fate un fischio.
Lo script o il batch estraggono l'indirizzo ip e il nome host della macchina e creano il corrispondente record A sul dns.
Per funzionare su windows bisogna inpostare il suffiso dns primario del computer con il nome della zona su cui ci si vuole registrare. Con linux basta impostare hostname con il nome nel formato fqdn.
Non ho sottomano zs ma con la redhat5 che ho qui funziona correttamente.
Top
Profilo Invia messaggio privato
omar.braile



Registrato: 01/09/10 00:54
Messaggi: 1

MessaggioInviato: Mer Set 01, 2010 12:59 am    Oggetto: Rispondi citando

ciao, sono nouvo e da poco mi sono messo a smanettare con questa ottima (a mio avviso) distro.
Ho un piccolo problema con il certificato del radius server.
Mi sono iscritto su Cacert.org ma non riesco a capire come ottenere il certificato e la key da inserire per impotare nel radius.
grazie in anticipo.

PS:tutto questo mi serviva per limitare la banda degli utenti e il tempo di connessione...e ultima cosa, dove finiscono il log degli utenti??
Top
Profilo Invia messaggio privato
minips



Registrato: 05/09/09 11:37
Messaggi: 26

MessaggioInviato: Mer Mar 25, 2015 2:14 am    Oggetto: Rispondi citando

ciao fulvio novità in merito alla domanda di cui sopra?

grazie
Top
Profilo Invia messaggio privato
FLAVIO SAL



Registrato: 27/02/17 20:25
Messaggi: 4

MessaggioInviato: Lun Feb 27, 2017 8:33 pm    Oggetto: CERTIFICATO SSL Rispondi citando

Ciao Fulvio, ho un piccolo problema.... sono un'asino e desidero installare un certificato ssl nella box di zeroshell, ma giustamente non so da dove iniziare! Chi mi aiuta a fare ciò?
Grazie per la pazienza.

Flavio
Top
Profilo Invia messaggio privato Invia e-mail
tiger



Registrato: 02/02/16 10:34
Messaggi: 370

MessaggioInviato: Lun Feb 27, 2017 10:16 pm    Oggetto: Rispondi citando

Leggete qui.

http://www.zeroshell.net/forum/viewtopic.php?t=6011
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it