Задать вопрос
Ответы пользователя по тегу OpenSSL
  • Как сделать промежуточный ЦС?

    nmk2002
    @nmk2002
    работаю в ИБ
    Вам надо, чтобы клиентский софт(ОС, браузер,...):
    - доверял корневому УЦ
    - мог построить цепочку от вашего конечного сертификата до корневого УЦ.

    Для последнего пункта надо, чтобы вы:
    - предоставляли клиенсткому софту не только ваш сертификат, а еще и сертификат промежуточного УЦ. Так обычно делают с SSL сертификатами веб-сайтов - веб-сервера предоставляют цепочку, а не только сам сертфиикат сайта.
    ИЛИ
    - загрузили в доверенные не только корневой сертификат, но и сертификат промежуточного УЦ.
    Ответ написан
    Комментировать
  • Как сконвертировать pfx в pkcs7?

    nmk2002
    @nmk2002
    работаю в ИБ
    openssl pkcs12 -in filename.pfx -out filename.pem -nodes
    Внутри будет и сертификат и закрытый ключ в формате pem.
    Отдельно сертификат можно извлечь добавив -nokeys к команде.
    Ответ написан
    Комментировать
  • Как узнать пароль для конвертаций из .p12 в .pem?

    nmk2002
    @nmk2002
    работаю в ИБ
    Он задается при создании ключевой пары. Если вы его не знаете, то вряд ли сможете убрать пароль.
    Ответ написан
    Комментировать
  • Почему у habrahabr.ru до сих пор нет SSL/TLS?

    nmk2002
    @nmk2002
    работаю в ИБ
    Буду оригинален и отвечу на вторую часть вопроса.
    SSL/TLS - потому, что на сегодня большинство серверов настроено на поддержку обоих протоколов.
    SSL - пока еще очень распространён. TLS все-еще поддерживает не все клиентское ПО и поэтому многие сервера настроены на поддержку SSL вместе с TLS.
    Ответ написан
    Комментировать
  • Самостоятельно генерить клиентские сертификаты на основании сертификата от StartSSL?

    nmk2002
    @nmk2002
    работаю в ИБ
    Не совсем так. На самом деле у вас есть пара ключей. И закрытым ключом технически возможно подписать что угодно, хоть другой сертификат. Но назначение вашего ключа не подпись других ключей, а аутентификация SSL/TLS. Это указано в самом сертификате, который вы получили от УЦ.
    Если бы УЦ выдал вам сертификат с назначением "подпись сертификатов" (и, желательно, "подпись CRL"), то вы бы могли подписывать другие сертификаты. Но это невозможно по понятным причинам.
    Еще одно ограничение, которое не позволит вам выпускать сертификаты - длина пути валидации, которая тоже скорее всего указана в вашем сертификате (или сертификате УЦ). Выданный вами сертификат является сертификатом конечного пользователя.
    УЦ выдают только такие сертификаты клиентам. В этом суть web trust.
    Ответ написан
    2 комментария
  • Как подписать Wildcard SSL сертификатом CSR?

    nmk2002
    @nmk2002
    работаю в ИБ
    Сгенерировать новый запрос на сервере и перевыпустить сертификат

    Если генерировать новый запрос на сертификат, то пропадает смысл wildcard сертификата.

    Лучше разобраться в причине, почему нельзя импортировать имеющийся wildcard сертификат на ваш сервер.

    4) Есть ли возможность подписать сгенерированный сервером CSR закрытым ключом Wildcard-сертификата?

    Вряд ли , ведь назначение сертифката скорее всего аутентификация SSL, а не подпись сертифкатов. Следовательно подписывать вашим ключом другие сертификаты нельзя. (ну технически можно, что вы и сделали, но цепочка доверия не построится).
    Ответ написан
    Комментировать