Да, после того, как вы добавите сайт в исключения все будет ок.
Вот например я сгенерировал ключ и сертификат для mysite.com.
можете просто записать их в ваши файлы SSLCertificateKeyFile и SSLCertificateFile соответственно. Только не надо так делать в продакшене. Всегда создавайте свои ключи сами. Иначе тот, кто имеет доступ к вашему закрытому ключу (например тот же сайт, на который вы ссылались) может скомпрометировать ваш ресурс.
только как я понимаю они не подойдут для нормальной работы для mysite.com ?
Смотря что вы делаете. В принципе вы можете игнорировать сообщения о несоответствии сертификата домену и добавить исключение безопасности. Тогда не важно какое значение в поле CN сертификата.
Если вы создадите "правильный" сертификат с CN=mysite.com, но этот сертификат будет самоподписанный, то вы все равно будете получать сообщения браузера об ошибке. Ведь браузер не доверяет самоподписанным сертификатам.
надо создать все специально для mysite.com ?
В принципе да, но технически SSL/TLS будет работать и с сертификатами, выпущенными не для этого домена. (см. выше)
И что мне нужно дописать или написать в конфиге, какие файлы (1, 2, 3)?
В конфиге у вас должны быть фалы 1 и 2. Файл 3 для апача не нужен.
Сервис, который вы используете не создает сертификаты. Если почитаете внимательно, то увидите, что он только
"поможет вам сформировать запрос на выпуск SSL сертификата"
Вот запрос на выпуск сертификата вы и приняли за сам сертификат. Сертификата у вас нет.
Попробую подробнее:
1. Ваш файл cert.crt
-----BEGIN CERTIFICATE REQUEST-----
.......
-----END CERTIFICATE REQUEST-----
представляет собой CSR (Certificate Signing Request). На основании этого запроса создается сертификат.
2. Сам сертификат должен иметь вид
-----BEGIN CERTIFICATE-----
.......
-----END CERTIFICATE-----
cert.crt - это не тот файл. Это файл запроса, а должен быть сертификат. Посмотрите внимательно, какие файлы у вас есть. Наверняка вы скачали и сертификат, но вместо него залили на денвер не тот файл.
therealvetalhidden: Что видите, если открыть текстовым редактором cert.crt? Должен быть файл, который начинается с
-----BEGIN CERTIFICATE-----
И заканчивается строкой
-----END CERTIFICATE-----
Аналогично для cert.pem. Что видите при открытии файла?
Должно быть:
-----BEGIN PRIVATE KEY-----
.......
-----END PRIVATE KEY-----
Сергей: Вам верно объяснили, что самоподписанный сертификат может сделать кто угодно. И в поля записать какую угодно информацию. Даже "От Васяна". Если хотите, объясню подробнее, чем это может быть опасно для вас, как для пользователя.
Если вы планируете работать с сайтом с таким сертификатом, то должны быть уверены, что это оригинальный сертифкат "от Васяна". Например, позвоните ему (главное - другой канал связи) и спросите отпечаток сертификата (fingerprint) и сравните его с тем, что отображается у вас.
Сергей: По поводу того как стать УЦ, которому станут доверять ОС и браузеры: необходимо соблюдать строгие процедуры как при создании УЦ, так и при дальнейшей эксплуатации.
Например, для генерации ключевой пары корневого УЦ и создании его самоподписанного сертификата необходимо провести специальную процедуру - Ключевую Церемонию. Это очень строгое мероприятие, на котором помимо сотрудников компании присутствуют внешние аудиторы. Каждое действие документируется и заверяется присутствующими.
Подробнее читайте на www.webtrust.org
Кстати, если УЦ создается для внутренних нужд, Ключевая церемония, да и вообще соблюдение регламентов при работе с PKI тоже важны.
Нормальная компания (например, в случае сотрудничества) не будет доверять вашему PKI, если у вас он сделан "на коленке". Вероятность, что такой PKI может быть скомпрометирован высока. Опытный CISO непременно укажет на эту уязвимость.
1. Никто из "доверенных корневых" не продает такие сертификаты.
УЦ банков конечно могут быть настроены кривыми руками. В идеале они тоже должны выдавать сертификаты конечных пользователей.
2. Это называется аутентификация клиента. Без клиентского сертификата при доступе через SSL/TLS происходит аутентификация только сервера клиентом. Если же у клиента есть соответствующий сертификат и сервер настроен должным образом, то сервер так же имеет возможность аутентифицировать клиента. То есть получается двусторонняя аутентификация. Надеюсь, понятно получилось объяснить. Если что - обращайтесь.
