sm1tt: На юрика я брал через руцентр. Взять сертификат на юрика можно только если зарегистрирован юриком. Кроме этого CA попросит прислать ему документы - например в Thawte я выписку из ЕГРЮЛ отправлял. Еще будет запрос подтверждения письмом и обратный контрольный звонок - по номеру, который они получат из открытых источников - например на yell.ru (пришлось там страницу завести). Thawte звонит на русском :-) а вот Comodo - на английском. Еще в Comodo могут быть проблемы, если на телефоне голосовое меню на русском - они его банально не поймут. Чтобы уладить вопрос с Comodo, пришлось чатится с их саппортом (на английском, ессно), они тут же делают свой обратный звонок
sm1tt: Проверка организации делается только для юрика. Для физика только самые простые сертификаты типа Thawte123. Для EV (Extended Validation) еще больше проверок, правда тут ничего сказать не могу - не брал никогда именно из-за космического ценника.
Дмитрий Невакшонов: Чи-во? FreeBSD - под файлопомойку? Упал и валяюсь под столом... FreeBSD - это многофункциональный супер-пупер комбайн, способности которого мало чем ограничены. У него есть конечно проблемы, их много и они серьезные - но я бы не стал называть FreeBSD "заточенным под файлопомойку"... Я еслиф че, ее с версии 2.2.5 админил, правда до 9.3, потом перестал - именно из-за проблем
Эргил Осин: Бывает, я спорю с людьми, когда вижу что они заблуждаются и им нужно просто подсказать направление. Но бывает и даже не начинаю спорить, потому что я все что хотел доказать - доказал еще лет ...цать назад. Закон этот я читал. Еще даже до его официального выхода. И руководства внимание обращал. И прекрасно помню, что слова "на российских серверах" там точно были. Но спорить я не буду - продолжайте считать как хотите, мне совершенно все равно...
Да. Каждое создание CSR создает уникальный ключ. Поэтому подрядчик должен отдать _именно тот самый файл_ с расширением .key, который у него получился при создании запроса в комодо. Иначе плакали ваши денежки, потраченные на покупку сертификата.
Значит, если среди переданных подрядчиком файлов нет файла с расширением .key - пусть он его передает, потому что без него сертификат не встанет. Процесс создания сертфииката состоит из:
- Создания Запроса на Сертификат (CSR - Certificate Signing Request), в результате которого создаются _два_ файла - запрос на сертификат и ключ.
- Запрос на сертификат передается в Удостоверяющий Центр (в данном случае - комодо)
- Комодо, проведя нужные проверки, формирует файл сертификата
В итоге должно быть _два_ файла - сертификат и ключ, причем они должны соответствовать друг другу - использовать сертификат с чужим ключом не получится. Эти файлы и указываются в SSLCertificateFile и SSLCertificateKeyFile
SSLCertificateFile и SSLCertificateKeyFile указывают на разные файлы, то есть ключ не соответствует сертификату. При генерации запроса на сертификат для комодо должен был сформироваться ключ - вот его и нужно указать в SSLCertificateKeyFile
"Его" - программиста или "его" - комп? Впрочем не важно. Разумеется вводить. И того и другого. Но нужно будет _на локальном компе_ войти админом и включить учетку программиста в _локальную_ группу администраторов. Или же это сделать через политики или как-нибудь еще. Нашим админам проще вручную, потому что это действие разовое.
Ну пусть брутит - это он сделает за меня мою работу :-) по доказательству того, что пароли должны быть сложными :-) Ну и кроме всего, есть еще такая вещь как учет установленных программ. И даже СМП.
Кот Абсолютный
@CityCat4 Куратор тега Сетевое оборудование
Ну, флэшки хватит только если там два-три человека ходят по десятку сайтов - вот как у меня дома например. А если это контора, да статистика нужна по многим людям, да избирательный доступ, да списки блокировки... Каждое устройство должно заниматься своим делом - роутер роутить, прокси проксить. У железного роутера множество достоинств по сравнению со скажем iptables на линухе, но когда на него возлагается задача, ему не свойственная - то если принципиально чтобы роутер и прокси работали на одном узле - это нужно линух ставить
Из контекста ничего не ясно - где это происходит, что за сеть, организация это вообще или нет. У меня скажем в сети такое не проканало бы - юзер был бы быстро спроважен на беседу в СБ.
Павел Тананыхин: В source-base дистрибах давно уже отлажена технология сборки - те же портеджи в генту. Другое дело, что обычно ты или собираешь из портов - или ставишь из пакетов, нету такого чтобы учитывало все. FreeBSD учитывало, но там был свой адЪ - обновление пакетов с большими зависимостями - впрочем у CentOS тоже не все ладно в этом плане...
На лоре публика настолько специфичная, что нагуглив ссылку на лор я ее автоматически пропускаю - все равно кроме очередного срача типа "FreeBSD vs Linux", "init vs systemd", "Debian vs Ubuntu" ничего не найдешь...
Отключите хоть на минуту админское мышление :-) Вору пофиг на шифрованный диск. Вору пофиг на то, что он не грузится. Ему не данные нужны - ему нужно железо. Он вынес ноут за ворота, воткнул USB-привод, перешил биос, переставил ось - и вся хитрая защита пошла лесом.
Это как раз тот случай, когда технические меры бесполезны, ибо защищают данные, а не железяку. Даже если у вас будет ноут с вшитым в биос маячком (китайцы такое делают), но он (ноут) уже за полстраны от вас - поможет? Только административные меры.
