none
Generování sha2 žádosti pro serverový certifikát v IIS

Odpovědi

Všechny reakce

  • Podivejte se na navod zde

    http://aaronwalrath.wordpress.com/2010/05/28/installing-a-certificate-in-iis-7-5-from-a-public-certificate-authority/

    Vas problem zrejme spociva v konfiguraci TLS 1.2, odpoved najdete zde

    http://derek858.blogspot.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html



    4. listopadu 2011 7:05
    Moderátor
  • Přesně podle návodu jsem to udělala ale z certifikační autority( I.CA) mi řekli že žádost je sha1 a ne v sha2. Mám možnost nějakým způsobem ověřit jakou žádost jsem vygenerovala?
    4. listopadu 2011 7:47
  • Prectete: http://trycatchfinally.net/2011/05/generate-an-x509-certificate-with-an-sha256-signature-hash/

    Podle tohoto clanku neni schopno IIS generovat zadost v SHA2. Je nutne pouzit "externi" utilitu. Pokud nekamaradite s openSSL (jeji nastaveni neni uplne user-friendly), muzete zkusit XCA (nadstavba nad OpenSSL) http://xca.sourceforge.net/

    Ja XCA miluju a uz mi parkrat pomohlo vytrhnout trn z certifikatove paty :)

    4. listopadu 2011 9:20
  • I.CA má také svoje vlastní návody, podle nich jsi to zkoušela?
    michal zobec www.michalzobec.cz | www.virtualnipc.cz
    4. listopadu 2011 10:05
  • A proč generuješ žádost pro ICA? Vždyť to je certifikační autorita pro smích - není nikde podporovaná? Proč nevyužiješ nějaké profesionálnější certifikační agentury?
    4. listopadu 2011 10:12
  • Jirko prosím tě co znamená podle tebe "není nikde podporována"? a zajímají mne "profesionálnější certifikační agentury"... :)
    michal zobec www.michalzobec.cz | www.virtualnipc.cz
    4. listopadu 2011 10:15
  • No IMHO jde napriklad o to, ze prohlizece neobsahuji standardne korenove certifikaty ICA. Takze poridim pro web certifikat od teto autority, ale klientum prohlizec stale rve, ze server neni duveryhodny . . .

    A ty profesionalnejsi autority? No IMHO napriklad Thawte, VeriSign etc.

     


    BB
    4. listopadu 2011 10:31
  • Tím profesionálním myslím Verisign; Thawte; klidně i StartCom a další.

    Tím nepodporována myslím to, že standardně není obsažena ve Windows a nevím ani o žádné mobilní platformě, kde by byla obsažena defaultně. Tzn. práce navíc a další s tím spojené problémy u externích klientů.

    4. listopadu 2011 10:32
  • tak to zrovna není pár let pravda. I. CA je první česká CA která se aktualizuje přes aktualizace kořenových CA. a nedávno přibyla i Česká Pošta.

    viz výše...


    michal zobec www.michalzobec.cz | www.virtualnipc.cz
    4. listopadu 2011 16:41
  • I.CA má také svoje vlastní návody, podle nich jsi to zkoušela?
    michal zobec www.michalzobec.cz | www.virtualnipc.cz

    Ty jsem hledala , ale nenašla. Asi neumím hledat.

     

    tak to zrovna není pár let pravda. I. CA je první česká CA která se aktualizuje přes aktualizace kořenových CA. a nedávno přibyla i Česká Pošta.
    michal zobec www.michalzobec.cz | www.virtualnipc.cz
    O té České poště jsem to nevěděla, je někde odkaz, protože kdybych to věděla zvolila bych možná raději českou poštu. I.CA jsem zvolila právě jen z důvodu, že kořenový certifkát je přímo ve windows.

    4. listopadu 2011 16:44
  • No to je sice hezké, ale ve Windows Server to defaultně není (ani to není na serveru se všemi aktualizacemi), stejně tak jako to není ani ve Windows 8. O mobilních systémech ani nemluvě. Takže stejně je to k ničemu certifikační autorita.

    A teď jsem si nainstaloval Windows Vista Business a nechal projet všechny aktualizace (asi 6 restartů celkem) a po ICA ani České poště ani památky...takže nic moc... (samozřejmě DigiNotar, který byl zneplatněný nedávno je již v nedůvěryhodných úřadech - takže ta aktualizace tam proběhla;)

     

    Návody viz zde..

    http://www.ica.cz/Navody.aspx

     

    4. listopadu 2011 16:53
  • Jenomze ten navod konci tady ;-)

    http://www.microsoft.com/cze/windowsserversystem/default.mspx

    Takze si nedali ani tu praci, aby meli svuj navod.

    Postsignum o IIS nic nevi

    http://www.postsignum.cz/vysledek_vyhledavani.html?Search=IIS

    4. listopadu 2011 16:56
    Moderátor
  • Jenomze ten navod konci tady ;-)

    http://www.microsoft.com/cze/windowsserversystem/default.mspx

    Takze si nedali ani tu praci, aby meli svuj navod.

    Postsignum o IIS nic nevi

    http://www.postsignum.cz/vysledek_vyhledavani.html?Search=IIS

    Než jsem stačila zareagovat udělal jste to za mně, uf už jsem se lekla , že jsem špatně hledala.
    4. listopadu 2011 17:06
  • A nemohla by jsi napsat, čeho potřebuješ dosáhnout? A proč zrovna potřebuješ certifikát od ICA? Nestačil by ti zadarmo certifikát od StartSSL? 
    4. listopadu 2011 17:13
  • K serveru se přes SSL certifikát budou připojovat běžní uživatelé (BFU) a  pro I.CA jsem se rozhodli proto, aby se při připojení tito uživatelé nelekli hlášení o nedůvěryhodném certifikátu a nemuseli si kořenový certifikát sami importovat. Prostě jsme chtěli,aby to z jejich pohledu bylo co nejjednodušší.
    4. listopadu 2011 17:19
  • Je mi to jasné - ten certifikát zdarma od StartSSL také nebude zobrazovat žádné hlášení - navíc je zdarma: 

    http://www.jiribrejcha.net/2009/11/duveryhodne-ssl-certifikaty-zdarma-od-starcomu/

    Navíc je důvěryhodný na mnohem větším počtu zařízení než ICA (která není skoro nikde).

    4. listopadu 2011 17:47
  • ano to můžu doporučit ale pozor nepodporuje alternate name. moje zkušenosti (týká se především sbs2008 nebo ws2008). http://www.michalzobec.cz/2011/07/09/startssl-ssltls-certifikat-nejen-pro-exchange-server-zdarma/

    jinak Jirko v tomto ohledu mne překvapuješ, skoro jako bys byl zaujatý. :)

    http://social.technet.microsoft.com/wiki/contents/articles/may-2010-root-update-new-cas-and-new-root-certificates.aspx

    Česká pošta, or the Czech Post, also known as PostSignum, is a CA operated by the government of the Czech Republic issuing primarily to members of the public located in the Czech Republic.

    I.CA hledat nebudu. stačí aby byly povolené aktualizace WU nebo pro IE a s poslední verzí máš důvěryhodné obě české CA.

    p.s.: startssl není důvěryhodný ve windows mobile 6.5


    michal zobec www.michalzobec.cz | www.virtualnipc.cz
    4. listopadu 2011 18:25
  • stačí poslat mail na technickou podporu a pošlou návod. není veřejně na webu co vím. kdysi mi ho posílali.
    michal zobec www.michalzobec.cz | www.virtualnipc.cz
    4. listopadu 2011 18:26
  • Subject alternate name normálně nepotřebuješ. Ale já mám tu averzi z toho důvodu, že to není zdarma.. Proč platit za autoritu, která je není prakticky nikde podporována. Já vycházím z toho, co vidím... Cpost tam taky nikdy nevidím. Navíc nemusí být na tom PC všechny updaty.
    4. listopadu 2011 18:45
  • to je ale problém správce. já naopak mám aktualizace všude. případně pokud je to nějaké složitější prostředí tak zajistím alespoň instalaci této aktualizace jinou cestou. vždy je nějaká cesta jak root ca distribuovat.

    ano máš pravdu přímo v OS není, ale verisign je opravdu dost drahej na takovou věc. thawte je o něco levnější ale taky nic moc. je to každého věc ale to co píšeš není pravdivé. a to si myslím že není fér. spousta lidí I.CA používá, natož PostSignum :)

     


    michal zobec www.michalzobec.cz | www.virtualnipc.cz
    4. listopadu 2011 18:53
  • No vždyť říkám, že Windows Vista tu certifikační autoritu nemají ani po instalaci všech aktualizací.

    Navíc domácí PC občas ty aktualizace fakt zapnuté nemají a to pak nemáš šanci ovlivnit...

    4. listopadu 2011 23:26
  • No vždyť říkám, že Windows Vista tu certifikační autoritu nemají ani po instalaci všech aktualizací.

    Navíc domácí PC občas ty aktualizace fakt zapnuté nemají a to pak nemáš šanci ovlivnit...


    každý mluvíme o něčem jiném. já ti potvrzuji že čistá instalace OS bez aktualizací tyto Root CA nezná. po aktualizaci ano. kdyby tomu tak nebylo tak bych si musel I.CA instalovat ručně což tak není... jediné stroje se kterými se setkávám které je neznají mají většinou aktualizace vypnuté nebo nabořené... když jsem ti poslal odkaz kde přímo MS píše že tyto CA podporuje proč pořád tvrdíš opak?

    p.s.: a pokud se ti to nezaktualizovalo na tvém stroji tak chyba je evidentně na tvém přijímači ne?


    michal zobec www.michalzobec.cz | www.virtualnipc.cz
    4. listopadu 2011 23:55
  • Mám tu Windows Server 2008 se všemi aktualizacemi. Nemá tam ICA autoritu. Mám tu Windows Vista Ultimate - také nemají ICA; mám tu Windows 7 Professional - také nemá ICA (všude všechny aktualizace).

    Schválně jsem provedl i čistou instalaci + všechny aktualizace - také nemá ICA autoritu (W7Professional)


    PS: mě je jasné, že když to píšou, tak ji tam přidali:

    viz třeba jejich seznam:

    http://social.technet.microsoft.com/wiki/contents/articles/2592.aspx

    Ale nejde mi do hlavy proč není zobrazená ve správci certifikátů.

    Ale přišel jsem na zajímavou věc - jakmile se navštíví stránka, která má certifikát od ICA, tak se najednou ten certifikát zkopíruje do důvěryhodných certifikačních autorit. Takže výsledek je takový, že ten certifikát tam opravdu je, akorát není nijak vidět (no idea).

    Takže tím bych se chtěl omluvit za své tvrzení, že v systému není - je tam po instalaci všech aktualizací, ale není vidět :)

    (PS2 - argument, že ten certifikát není ve WP 6.5 je sice super, akorát ta ICA tam také není:)

    5. listopadu 2011 0:29
  • ano to je ta mnou zmiňovaná funkce IE. moc pěkné povídání o tomto je na lupě. plus by si měl IE sám jednou měsíčně stahovat sám nezávisle aktualizace root ca - pokud mu to v tom průvodci povolíš.
    michal zobec www.michalzobec.cz | www.virtualnipc.cz
    5. listopadu 2011 13:44
  • Je mi to jasné - ten certifikát zdarma od StartSSL také nebude zobrazovat žádné hlášení - navíc je zdarma: 

    http://www.jiribrejcha.net/2009/11/duveryhodne-ssl-certifikaty-zdarma-od-starcomu/

    Navíc je důvěryhodný na mnohem větším počtu zařízení než ICA (která není skoro nikde).

    Ten certifikát od StartSSL je sha1?
    10. listopadu 2011 12:53
  • ano to je pravda je sha1 (to mne nenapadlo ani zkoumat).
    michal zobec www.michalzobec.cz | www.virtualnipc.cz
    • Navržen jako odpověď Michal Zobec 10. listopadu 2011 15:31
    10. listopadu 2011 15:31
  • Jaký je v tom rozdíl, nebo spíše je nějaké větší bezpečnostní riziko pokud bude použit sha1 certifikát místo sha2?
    10. listopadu 2011 15:48
  • SHA-1 je TEORETICKY prolomitelné. Je to ale jen teorie..zatím žádný úspěšný pokus nebyl..

    http://en.wikipedia.org/wiki/SHA-1

    Tudíž se toho nemusíš obávat.

    10. listopadu 2011 16:00
  • má lepší zabezpečení

    http://cs.wikipedia.org/wiki/SHA1#SHA-2

    více asi v anglické verzi. moc toho v češtině není.


    michal zobec www.michalzobec.cz | www.virtualnipc.cz
    • Navržen jako odpověď Michal Zobec 10. listopadu 2011 16:05
    10. listopadu 2011 16:04