Apache2 ssl problem

[CreatoR]

Без да искам изтрих сертификата от апаче.пем файла и когато пробва да пусна апачето получих тази грешка

[Thu May 10 19:53:43 2007] [error] Init: Unable to read server certificate from file /etc/apache2/ssl/apache.pem
[Thu May 10 19:53:43 2007] [error] SSL Library Error: 218529960 error:0D0680A8:a sn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Thu May 10 19:53:43 2007] [error] SSL Library Error: 218595386 error:0D07803A:a sn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error

. Някой има ли идея как се оправя това?

[Ghost]

Код:

#openssl req -new -x509  -keyout server.pem -out server.pem  -days 365 -nodes

Generating a 1024 bit RSA private key
..........++++++
.++++++
writing new private key to 'server.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:BG
State or Province Name (full name) [Some-State]:Sofia District
Locality Name (eg, city) []:SOFIA
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Ltd.
Organizational Unit Name (eg, section) []:Secure HTTP
Common Name (eg, YOUR name) []:www.example.com
Email Address []:webmaster@example.com

Код:

#mv server.pem /etc/apache2/ssl/apache.pem

Червните ги подмменяш с разумни отговори за твоя случай - държава, провинция, град, име на фирма, отдел на фирмата, обичайно име*!, е-поща за контакти

"обичайно име" задължително търябва да съвпада с името на сайта. В противен случай браузерите на клиентите ще пищят, че се опитваш да ги измамиш, т.като сертификатът е издаден за, примерно www.example.com, а те влизат във 192.168.0.5

[dark]

аз пак да вметна ... те браузърите ще си пищят пак, защото сертификата е издаден от "недоверителна" институция, т.е. сам си го издаваш. ако правиш, сайт за пред хора трябва да си платиш на някой от сертифицираните за да ти издаде въпросния сертификат и да не се появяват странни попъпи на потребителите.

btw да не са ти с парола сертификатите?

[Ghost]

Може и да греша, но доколкото си спомням, IE вади грешка в червено [1] при грешен хост и грешка в жълто [2] при самоподписан сертификат (какъвто се генерира чрез командата по-горе). Има и др. вариант (естествено) - да се генерира сертифицираща институция (CA, Cert. Authority...Fuck Authority ;-p), с чийто сертификат да се подпише сертификата на сървъра. Инсталира се сертификатът и на сайта се посочва линк, откъдето може да се изтегли сертификата на институцията. Този сертификат се инсталира в браузера и той вече признава сертификата на сървъра. Проблем е, че при IE инсталирането на сертификати е с хиляда стъпки повече, отколкото при другите браузери. Това обезсмисля цялата работа, ако просто желаем да криптираме връзката, за да не се снифят паролите за форума. ;-))
За по-сериозни дейности си има фирми, които с това се занимават и трябва да им се плати за подпис, както вече каза dark.

Смисълът на грешките, които се изписват от браузера, е горе-долу:

[1] ВНИМАНИЕ!!! Може да се опитват да Ви измамят. Сайтът, който в момента посещавате, www.1ime-na.site.com, предлага сертификат издаден за друг сайт - www2.ime-na-site.com!!! Искате ли да приемете този сертификат?

[2] Бележка: Сертификатът за този сайт е издаден от институция, чийто сертификати не сте се съгласили изрично, че признавате. Искате ли да продължите?

[dark]

то проблема на грешките при браузърите е, че никой не ги чете... каквото и да пише или ще го приемат за "вирус/атака" или изобщо няма да му обърнат внимание.

бтв се си мисля, че горната грешка се е появила след промяна/ъпгрейд на апачите.

[CreatoR]

Оправих го, благодаря много. Махнах направо целия ссл от апачето. Сега се чудя какъв сертификат да си купя ... на thawte не са лоши. Какво мислите? До сега съм ползвал 3 такива на тях и съм доволен. 256 битовите са ок мисля.

[dark]

важното е да не изкарват прозорче... останалото няма значение...