none
SSL certifikáty a jejich důvěryhodnost

    Dotaz

  • Řeším nyní problém s generováním vlastních SSL certifikátů pomocí SelfSSL (součást IIS Resources). Vytvoření a přidání certifikátu webovému serveru je bez problému, na daném serveru je certifikát automaticky důvěryhodný, avšak pokud vyexportuju tento certifikát na klienta (Windows Vista SP1) a importuji ho do "Důvěryhodných kořenových certifikačních úřadů", tak import dle hlášení proběhne v pořádku, zobrazí se také dialog s potvrzením rizik, ale ve finále, když si zobrazím pomocí MMC certikáty, není nikde zobrazen a tím pádem není ani považován za důvěryhodný.

    Pokoušel jsem se hledat nějakou utilitu na generování certifikátů (tj. abych vytvořil vlastní autoritu a následně generoval jednotlivé certifikáty), ale krom "šíleností" pro linux jsem nic použitelného nenašel.

    Pokoušel jsem se také hledat jakým způsobem "šíří" certifikáty SBSko, které vytvoří průvodce, ale to jsem také nezjistil, avšak předpokládám, že pomocí group policy, což nemohu použít (v mém případě nepoužitelné díky kombinaci WS2003 x64, .NET framework 2.0 a několik webů na ASP.NET 2.0 => nemožnost provozovat .NET Framework 1.1 - trochu na delší povídání, zmíním se v jiném topicu).

     

    Máte s tímto někdo zkušenosti?

     

    Díky za rady.

     

    27. dubna 2008 11:43

Odpovědi

Všechny reakce

  • Ahoj.

    1) Openssl.exe neni ani silenost ani pro Linux. Pote co jim vygenerujes prvni certifikat budes mit rad i ten software na ktery nyni nadavas Smile. Certifikacni autorita take neni problem.

     

    2) Nemuzes si ve Win proste nainstalovat certifikacni autoritu a na klienty distribuovat certifikat teto Root CA? Self-signed certifikatum bych se proste vyhl.

     

    3) Jakym zpusobem importujes certifikat do Root CAs? Pres pruvodce dvouklikem na certifikatu? Primo z prohlizece kdyz ti zarve o neduveryhodnem cerifikatu? Pres certmgr.msc? Vybiras fyzicky store? Doporucuji certifikat naimportovat RUCNE pres certmgr.msc do MACHINE Trusted Root Certification Authorities

     

    BTW mas Admin prava?

     

    MP

    28. dubna 2008 12:47
    Moderátor
  • Hlavne je treba zodpovedet otazku, pro koho bude SSL slouzit.

     

    Pokud pro sirokou verejnost, pak je v podstate nezbytne, aby SSL certifikat vydala nejaka svetove uznavana CA.

    Aby prave nedoslo u ruznych klientu k tomu, ze bude certifikat povazovan automaticky za neduveryhodny.

     

    Pokud se jedna o komunikaci v malem okruhu uzuvatelu (firma, plus nekolik zakazniku napriklad), pak je resenim

    vlastni CA, jak zminil M.Pragl. CA je volitelna soucastka Windows Serveru. Staci uzivatelum dopravit root certifikat vlastni CA, ktery uzivatele zaradi mezi duveryhodne vydavatele.

     

    SelfSSL je mineno jako hracka/pomucka pro vyvojare, aby bylo mozne rychle SSL zaridit (treba doma na IIS v XP) a vyvojar mohl otestovat spravnost chovani sveho WEBu.

    28. dubna 2008 14:12
  •  Miroslav Prágl napsal:

    Ahoj.

    1) Openssl.exe neni ani silenost ani pro Linux. Pote co jim vygenerujes prvni certifikat budes mit rad i ten software na ktery nyni nadavas . Certifikacni autorita take neni problem.

     

    Na openssl jsem narazil, avšak pouze ve spojení s linuxem, netušil jsem, že je použitelný i pro windows. Máš prosím k dispozici nějaký "how-to" na vytvoření autority a následné generování certifikátů?

     

     Miroslav Prágl napsal:

    2) Nemuzes si ve Win proste nainstalovat certifikacni autoritu a na klienty distribuovat certifikat teto Root CA? Self-signed certifikatum bych se proste vyhl.

     

    Původně jsem to chtěl řešit pomocí GP, kde bych šířil certifikáty na klienty, avšak GPMC nelze na x64 WS2003 s IIS na kterém běží ASP.NET weby naisntalovat kvůli problémům s potřebným .NET Framework 1.1

     

     Miroslav Prágl napsal:

    3) Jakym zpusobem importujes certifikat do Root CAs? Pres pruvodce dvouklikem na certifikatu? Primo z prohlizece kdyz ti zarve o neduveryhodnem cerifikatu? Pres certmgr.msc? Vybiras fyzicky store? Doporucuji certifikat naimportovat RUCNE pres certmgr.msc do MACHINE Trusted Root Certification Authorities

    BTW mas Admin prava?

     

    Zkoušel jsem jak import dvojklikem, kde jsem vybral duveryhodne kořenové certifikační úřady, tak i přes konzolu, fyzicky store jsem nevybíral, nikdy jsem to přes fyzické cesty neřešil a přiřadilo se to vždy ok (kontrola v konzoli), tentokráte nepomohlo nic. Systém napíše, že import proběhl ok (na poprvé se ještě před tímto dialogem objeví dotaz na import s otiskem, potvrdím ok), avšak v konzoli není vidět v žádné složce.

    Když se však dívám do konzoly, tak mám jen certifikáty aktuálního uživatele (zkouším to pod tím samým uživatelem co importuji samozřejmě), certifikáty celého počítače (machine) nikde nevidím.

    Admin práva samozřejmě mám, potvrdím UAC...

     

     

    Any idea?

     

    Díky.

    30. dubna 2008 12:47
  •  Miroslav Tiser napsal:

    Hlavne je treba zodpovedet otazku, pro koho bude SSL slouzit.

     

    Pokud pro sirokou verejnost, pak je v podstate nezbytne, aby SSL certifikat vydala nejaka svetove uznavana CA.

    Aby prave nedoslo u ruznych klientu k tomu, ze bude certifikat povazovan automaticky za neduveryhodny.

     

    Pokud se jedna o komunikaci v malem okruhu uzuvatelu (firma, plus nekolik zakazniku napriklad), pak je resenim

    vlastni CA, jak zminil M.Pragl. CA je volitelna soucastka Windows Serveru. Staci uzivatelum dopravit root certifikat vlastni CA, ktery uzivatele zaradi mezi duveryhodne vydavatele.

     

    SelfSSL je mineno jako hracka/pomucka pro vyvojare, aby bylo mozne rychle SSL zaridit (treba doma na IIS v XP) a vyvojar mohl otestovat spravnost chovani sveho WEBu.

     

    Samozřejmě bude sloužit úzké skupině lidí, jde především o vnitrofiremní komunikaci (Outlook RPC, OWA, atd.) a nějaké interní weby, nic veřejného.

    Jak jsme psal, jde mi o vlastní certifikáty, kdyby to bylo public, tak samo pořídím trusted certifikáty.

    30. dubna 2008 12:54
  • http://www.openssl.org/related/binaries.html

     

    Dobry zacatek je vyhledavac a "windows openssl create self-signed certificate"

     

    MP

     

     

    30. dubna 2008 13:13
    Moderátor