Почему не работает https?

Question

[koshelevatamila4741]

"http: // 192.168.0.114" работает
Делала по этим инструкция:
https://www.informaticar.net/enable-https-on-ubunt...
https://develike.com/ru/stati/dobavlenie-doverenno...
Единственное что получилось, так это redirect http->https, но при этом https перечёркнуто и показывает "нет доверия к корневому сертификату центра сертификации"
Меняла разные файлы в /etc/apache2/sites-available и /etc/apache2/sites-enabled, добавляла сертификат .crt, не работает.
Помогите разобраться, пожалуйста.

Answer 1

[Николай Турнавиотов]

потому что само-подписанный сертификат твой броузер не знает. попробуй использовать let's encrypt, если это сервер, который смотрит наружу в интернет, или добавь сертификат в список доверенных, если это только сервис локальной сети

Comments

[koshelevatamila4741]

Так добавлен уже и всё равно сертификат недействительный.

[Александр Карабанов]

koshelevatamila4741, это может быть от того, что используется IP вместо домена.

Answer 2

[Александр Карабанов]

Добавь в хранилище сертификатов сгенерированный тобой корневой сертификат, тогда заработает.
Можешь воспользоваться mkcert для генерации сертификатов - он сам всё сделает.

Comments

[koshelevatamila4741]

А как пользоваться? сделала
sudo apt install libnss3-tools
git clone https://github.com/FiloSottile/mkcert && cd mkcert
go build -ldflags "-X main.Version=$(git describe --tags)"
но после ввода mkcert -install пишет неизвестная команда.

[koshelevatamila4741]

Почему в путь сертификации написано "Этот сертификат действителен."
А страница не открывается "недействительный сертификат"

[Александр Карабанов]

koshelevatamila4741, там есть готовые сборки, просто скачай.

[Александр Карабанов]

koshelevatamila4741, "действителен" - это срок его действия, а не статус.

[koshelevatamila4741]

Александр Карабанов, Есть разные архивы и что с ними делать?

[Александр Карабанов]

koshelevatamila4741, скачай тот, который для Windows (у тебя ведь Windows?) и следуй инструкциям из README

Answer 3

[Saboteur]

Покажите как вы создали сертификат и где прописан айпишник. Он должен быть в SAN поле

Comments

[CityCat4]

А разве не в SAN? В CN по-моему в таком случае можно любую байду написать

[Saboteur]

чьорт, так и хотел написать, что там не стандартное поле. Спасибо, поправил ответ.

Answer 4

[CityCat4]

Если сайт "длля себя и подружек", то проще всего забыть про все эти самоподписанные сертификаты и воспользоваться LE (Let's Encrypt) - он как раз для этого годится. Как им воспользоваться - в тырнете сто тыщ мильенов инструкций.
Если хочется таки разобраться - то ошибка возникает из-за того, что сертификат самоподписанный и доверия к нему нет. Для появления к нему доверия необходимо:
1. Поместить сертификат в хранилище доверенных сертификатов (где это в бубунте, не знаю, обычно /etc/ssl/certs)
2. Создать в хранилище доверенных сертификатов (см. выше по расположению) специальный файл-ссылку - их там должно быть огромная куча для стандартных сертификатов таким образом:

cd /etc/ssl/certs
ln -s yourcertfile.crt `openssl x509 -hash -noout -in yourcertfile.crt`.0

Comments

[koshelevatamila4741]

Let's Encrypt насколько я поняла для ИП нельзя настроить. У меня нет доменного имени. Я просто хочу сделать так, чтобы открывалась страница https://192.168.0.100/moodle

[CityCat4]

koshelevatamila4741, Так не получится. Никто не выдает сертификаты на IP, только самому выпускать. Доменные имена, кстати, в некоторых зонах типа .xyz могут и бесплатно раздавать. Или за символические деньги.