|
Zaufany certyfikat SSL dla połączeń https w tomato
|
| tomekkg |
Dodano 10-03-2012 15:26
|
User
Posty: 35
Dołączył: 17/05/2011 14:42
|
Czy ktoś życzliwy mógłby łopatologicznie, krok po kroku wytłumaczyć jak uzyskać .crt i .key po rejestracji na StartSSL ? |
| |
|
|
| krisan |
Dodano 11-03-2012 00:23
|
Power User
Posty: 207
Dołączył: 22/03/2011 11:48
|
Rozwiązanie problemu opisanego tutaj: http://openlinksys.info/forum/viewthr...post_98157
Jako prywatny klucz używałem certyfikatu pocztowego, uzyskanego w trakcie rejestracji - zamiast tego do domeny :-)
A wyszło to przy instalacji innego oprogramowania na routerze ... w każdym razie, certyfikat można zawsze zweryfikować czy jest taki jaki powinien:
openssl x509 -subject -dates -fingerprint -in mojcert.pem
Tak więc, wygląda że wszystko śmiga.
Cytat tomekkg napisał(a):
Czy ktoś życzliwy mógłby łopatologicznie, krok po kroku wytłumaczyć jak uzyskać .crt i .key po rejestracji na StartSSL ?
Wszystko jest opisane w pierwszym poście... a co nie to:
1. Jeśli jesteś już zarejestrowanym to wchodzisz tu: https://www.startssl.com/?app=12.
2. Jeśli jeszcze nie zweryfikowałeś własności swojej domeny to wybierasz zakładkę Validations Wizzard i wybierasz Domain Name....
3. Generowanie certyfikatu: wybierasz z Certificates Wizard pozycję Webserver i idąc dalej wybierasz Skip
4. Jak poprosi o wklejenie certyfikatu CSR to go generujesz zgodnie z instrukcją w pierwszym poście dodając parametr -sha1:
/opt/bin/openssl req -nodes -newkey rsa:2048 [b]-sha1[/b] -keyout xxx.key -out xxx.csr
5. Po zatwierdzeniu czekasz na maila o informacji
6. Jak dostaniesz i wsjo jest ok to [p.1] i z zakładki Tool Box klikasz Retrive... i wybierasz certyfikat serwera.
7. kopiujesz, zapisujesz i masz cert.pem
reszta jak w 1 poście.
|
| |
|
|
| krott |
Dodano 28-05-2013 23:06
|
User
Posty: 67
Dołączył: 14/10/2011 02:42
|
Mała archeologia.
Mam główną domenę przekierowaną na hosting. Utworzyłem sub-domenę przekierowaną na ruter, za ruterem dysk synology. Na StartSSL nie można utworzyć certyfikatu dla sub-domeny. Czy generowanie certyfikatu dla głównej domeny ma sens ?
Netgear WNR3500L v2 + Tomato 1.28.0000 MIPSR2-108 K26 USB AIO
Synology DS110j + 1TB Sasmung
(VPN)
Asus 500gP v2 + 1.28.0905 MIPSR1-079V K26 USB BT-VPN by shibby
Qnap TS101 + 750 GB Samsung
|
| |
|
|
| shibby |
Dodano 29-05-2013 08:55
|
SysOp
Posty: 17064
Dołączył: 15/01/2009 20:30
|
a czemuż to nie można? Ja robiłem dla subdomeny. Nawet na screenach widać, że subdomenę zakryłem i zostawiłem widoczną tylko moją główną domenę czeylu groov.pl
Certyfikat możesz użyć tylko dla domeny, dla której został on wygenerowany, czyli nie zadziała on na subdomenie (zadziała ale będzie wadliwy i nadal będzie na czerwono). No chyba, że kupisz certyfikat wildcardowy 
Proxmox VE: i7-7700T, 48GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology DS920+
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| johnny86 |
Dodano 30-05-2013 03:14
|
User
Posty: 128
Dołączył: 02/11/2009 09:09
|
Witam,
dając komende
Cytat cat /tmp/router.openlinksys.info.crt > /etc/cert.pem
cat /tmp/router.openlinksys.info.key > /etc/key.pem
service httpd restart
mam ERROR: unknown
wie ktoś co wpisuję źlę?
|
| |
|
|
| Marco76 |
Dodano 30-05-2013 15:58
|
Super User
Posty: 433
Dołączył: 08/03/2007 19:47
|
[...] > /etc/...
Główny system plików Tomato jest read only, niczego w /etc nie zapiszesz.
[small] Pozdrawiam, Monter
Asus RT-N18 + FreshTomato 2019.3 K26ARM USB AIO-64K-NOSMP + ILHM v2
HTPC Chieftec FLYER FI-02BC-U3 + GA-H61N-USB3 + i3-3225 + 4GB RAM + LibreELEC + Xbox DVD Remot |
| |
|
|
| johnny86 |
Dodano 30-05-2013 20:40
|
User
Posty: 128
Dołączył: 02/11/2009 09:09
|
To jak mam to zrobic zeby dzialalo?
Połączony z 31 maj 2013 00:46:40:
to chyba nie jest powodem ponieważ wydałem polecenie
Cytat cat /tmp/mnt/sda1/1.crt > /tmp/mnt/sda1/cert.pem
cat /tmp/mnt/sda1/csr.key > /tmp/mnt/sda1/key.pem
service httpd restart
i mam ten sam błąd....
Połączony z 31 maj 2013 00:54:06:
odkryłem, że problem mam z
Cytat service httpd restart
Połączony z 31 maj 2013 00:54:07:
odkryłem, że problem mam z
Cytat service httpd restart
Połączony z 31 maj 2013 23:14:06:
dobra poradziłem sobie
Cytat cat /tmp/mnt/sda1/1.crt > /etc/cert.pem
cat /tmp/mnt/sda1/csr.key > /etc/key.pem
service http restart
service http restart bez d w http
Edytowany przez johnny86 dnia 31-05-2013 23:14
|
| |
|
|
| Marco76 |
Dodano 01-06-2013 01:54
|
Super User
Posty: 433
Dołączył: 08/03/2007 19:47
|
Ups, rozpędziłem się z tym /etc - przecież to symlink do /tmp/etc... Sorry Nigdy nie próbowałem wrzucać czegokolwiek do /etc, stąd mój błąd.
[small] Pozdrawiam, Monter
Asus RT-N18 + FreshTomato 2019.3 K26ARM USB AIO-64K-NOSMP + ILHM v2
HTPC Chieftec FLYER FI-02BC-U3 + GA-H61N-USB3 + i3-3225 + 4GB RAM + LibreELEC + Xbox DVD Remot |
| |
|
|
| mieszk3 |
Dodano 06-07-2013 14:12
|
Power User
Posty: 201
Dołączył: 09/02/2008 18:17
|
Hej mam problem z certyfikatem z home.pl z AlphaSSL CA. Mianowicie na Androidach rozpoznaje je jako niezaufane!
Znalazłem strone gdzie podobno mozna dodac do certifikatu serwera takze root CA (http://www.alphassl.com/support/insta...icate.html). Znalazlem tez sposob jak to zrobic w Tomato, ale chyba wymaga to jakiegos moda (http://www.linksysinfo.org/index.php?...tes.37273/).
Shibby, czy jest to już moze wbudowane w twoje Tomato? A jesli nie, czy jest jakis sposob, zeby certifikat byl uznany jako zaufany w androidach?
Pozdrawiam
Asus RT-AC66U + FreshTomato Firmware 2020.2 MIPSR2 K26AC USB AIO-64K
|
| |
|
|
| johnny86 |
Dodano 09-07-2013 22:22
|
User
Posty: 128
Dołączył: 02/11/2009 09:09
|
tutaj masz pośrednie certyfikaty
https://pomoc.home.pl/produkty/bezpieczenstwo/950
kwestia integtracji tego
|
| |
|
|
| mieszk3 |
Dodano 09-07-2013 23:18
|
Power User
Posty: 201
Dołączył: 09/02/2008 18:17
|
No wlasnie, to jest problem, ze Tomato Shibbiego tego nie robi (nie dodaje root CA). Dlatego tez podalem linka do modu, ktory podobno to robi. Moze mala prosba do Shibbiego aby looknal czy da sie to jakosz w miare latwo dodac?
Asus RT-AC66U + FreshTomato Firmware 2020.2 MIPSR2 K26AC USB AIO-64K
|
| |
|
|
| johnny86 |
Dodano 10-07-2013 23:27
|
User
Posty: 128
Dołączył: 02/11/2009 09:09
|
próbowałem na końcu cert.pem dopisać root CA ale to nic nie pomogło...
|
| |
|
|
| mieszk3 |
Dodano 11-07-2013 09:57
|
Power User
Posty: 201
Dołączył: 09/02/2008 18:17
|
U mnie niestety to samo.
Połączony z 08 lipiec 2014 10:00:34:
Nie mogę podmienić certyfikatu na nowy.
Po zrobieniu service httpd restart podmienia mi się mój na domyślny z Tomato (pliki cert.pem i key.pem resetują się i zmieniają)!
Wcześniej wszystko działało OK.
Połączony z 08 lipiec 2014 10:12:46:
Ok, już wiem co było nie tak. Podałem zaszyfrowany ssl.key zamiast klucza odkodowanego Wszystko jest w porządku.
Edytowany przez mieszk3 dnia 08-07-2014 10:12
Asus RT-AC66U + FreshTomato Firmware 2020.2 MIPSR2 K26AC USB AIO-64K
|
| |
|
|
| kille72 |
Dodano 21-07-2014 15:28
|
Administrator
Posty: 2986
Dołączył: 12/02/2007 23:43
|
Mam pytanie, mam standardowy SSL Certificate ten wygenerowany w Tomato zapisany do nvram zeby byl zawsze taki sam. Jak sie pierwszy raz lacze do Tomato z Firefoxa po https to Firefox ostrzega ze certyfikat nie jest zaufany ale proponuje zapisanie tego SSL w wyjatkach, jak to zrobic w Chrome...(przesiadlem sie na Chrome)? |
| |
|
|
| shibby |
Dodano 22-07-2014 14:41
|
SysOp
Posty: 17064
Dołączył: 15/01/2009 20:30
|
zamiast trzymać certyfikat w NVRAMie można zapisać go sobie do pliku. Ja mam zakupiony certyfikat kwalifikowany, zapisany na pendrive i do skryptu init dopisałem
Cytat mount LABEL=optware /opt
cat /opt/ssl/cert.crt > /etc/cert.pem
cat /opt/ssl/klucz.key > /etc/key.pem
service httpd restart
w pliku cert.crt znajduje się certyfikat i CA. Certyfikat jest poprawny zarówno na kompie (każda przeglądarka) jak i na telefonie z androidem.
Proxmox VE: i7-7700T, 48GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology DS920+
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| cross |
Dodano 09-08-2014 15:55
|
User
Posty: 62
Dołączył: 09/08/2014 02:39
|
Wszystko fajnie z StartSSL ale jest jeden poważny BUG tego serwisu
Cytat You must be the owner of the top-level domain, sub domains are not supported
subdomeny nie są obsługiwane. Trochę głupio. Zatem rozumiem, że wszyscy co na startssl tworzyli certy mają domeny zarejestrowane
Edytowany przez cross dnia 09-08-2014 16:08
|
| |
|
|
| shibby |
Dodano 09-08-2014 21:06
|
SysOp
Posty: 17064
Dołączył: 15/01/2009 20:30
|
ja miałem na subdomene. Wydaje.mi się ze trzeba być właścicielem głównej domeny bo na niej dokonywana jest weryfikacja ale certyfikat można wystawić na suba
Proxmox VE: i7-7700T, 48GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology DS920+
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| cross |
Dodano 10-08-2014 03:25
|
User
Posty: 62
Dołączył: 09/08/2014 02:39
|
no ja na pewno nie jestem właścicielem domeny net.pl  Zatem nie wiem jakim cudem uzyskam certa na mojadomena.net.pl
Zatem jak wystawić certa na suba?
Połączony z 18 wrzesień 2014 01:29:31:
Dla zainteresowanych tematem. Nie trzeba korzystać z serwisów płatnych , nie płatnych. Można samemu stworzyć sobie CA na serwerze - lub jeśli jest jakiekolwiek repozytorium CA dla routera, to pobrać i postawić na routerze Serwer CA i podpisać sobie certyfikat (CSR) nim.
Edytowany przez cross dnia 18-09-2014 01:29
|
| |
|
|
| shibby |
Dodano 18-09-2014 09:06
|
SysOp
Posty: 17064
Dołączył: 15/01/2009 20:30
|
tylko taki certyfikat podpisany własnym CA będzie nieautorytatywny tak więc nic nie zyskamy względem certyfikatu który sobie generuje Tomato. By żadna przeglądarka nie pluła się, że certyfikat jest niezaufany, musi być on podpisany autorytatywnym CA.
certyfikat na subdomenę można kupić bez problemu. Weryfikacja praw do domeny odbywana jest dwojako:
1) wysyłka maila dla adres admin@subodoemna lub admin@domena lub hostmaster@subdomena lub hostmaster@domena. Czasami możliwych adresów jest więcej do wyboru ale na pewno nie można tu podać adresy dowolnego.
2) test HTML, Czyli dostajemy pliczek weryfikacyjny i musimy go umieścić na stronie pod tym adresem subdomeny.
Czasami możliwa jest jeszcze weryfikacja pod DNSie. Trzeba dodać odpowiedni wpis w DNS dla tej domeny.
Ja już kupiłem 3 certyfikaty. Każdy kosztował mnie niecałe 6 dolarów. Wszystkie są na subdomeny ale mojej własnej domeny. Nie kupowałem nigdy certyfikatu na domenę typu dyndns.
Proxmox VE: i7-7700T, 48GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology DS920+
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| cross |
Dodano 18-09-2014 18:39
|
User
Posty: 62
Dołączył: 09/08/2014 02:39
|
No nie do końca. Jeśli posiadamy jakikolwiek serwer www. Nawet nie podpisany przez CA , a podpisany przez samego siebie certyfikat można wrzucić na serwer naszadomena.com/crl.pem strona po prosi o wybór czy akceptujemy połączenie i pojawi się możliwość zaimplementowania certyfikatu i dodania do centrum zaufania. Ja dodatkowo swój certyfikat CA dodałem do zaufanych wydawców w systemie i nie otrzymuje żadnych ostrzeżeń a o to chodzi, by tego się pozbyć. Polecam sprawdzić u mnie na serwerze: https://sonic.net.pl wyrzuci info o certfikacie, wystarczy pobrać wejść ponownie na stronę i pojawi się nam takie coś:
Pytanie co chcecie uzyskać? Certyfikat, który po wejściu na daną stronę trzeba dodać na danym kompie trzeba pobrać przez przeglądarkę i zatwierdzić jako bezpieczny i robimy to jednorazowo ? Więcej już nie, bo certfyfikat jest podpisany przez, co prawda nasze CA, ale dodany do zaufanych. Czy może wygodniej.. bez żadnego potwierdzania? Ale co nam szkodzi raz potwierdzić? Tak samo mam z serwerem postfix - dovecat. Zamierzeniem było pozbycie się okna za każdym razem gdy łączyłem się przez 993 klientem poczty. I się pozbyłem. Teraz mnie o nic nie pyta a tożsamość jest zweryfikowana. Takie jest chyba zamierzenie. Ja tylko informuję, że jest możliwe dodanie certyfikatu nawet bez CA, bo dzisiaj dodałem dla lokalnej domeny w sieci swojej LAN aby wchodzić z hostów lokalnych na router/ (screen poniżej) czy sonic/ (serwer apache po lokalu) wszystko po httpsie bez ciągłego informowania mnie, że łącze się z adresem , którego połączenie nie jest prywatne. Oczywiście jak ktoś chce mieć podpisany przez oficjalne CA to może się bawić ale ktoś doda sobie cert z automatu podpisany przez siebie wrzuci na host tak aby przeglądarka sama pobierała i ma spokój później to chyba to lepsze rozwiązanie?
Ten certyfikat nie podpisywałem przez CA tylko przez samego siebie.
Edytowany przez cross dnia 18-09-2014 18:46
|
| |
|
' target='_blank'>Link
