26. februar 2003 - 12:37Der er
19 kommentarer og 1 løsning
Gratis SSL
Nu har jeg efterhånden læst så meget om Rensin eller Resin herinde (det er vel to forskellige ting?) og hørt så meget godt om dem, men hvis man vil benytte sig af https og ssl, så lader det til at man skal købe et certifikat hvilket jo ikke er nødvendigt hvis man kunne gøre det gratis. Her så jeg så at apache har et modul til at klare det, Apache med mod_ssl.
Oprindeligt havde jeg planlagt at benytte SUN ONE webserver, men den kan kun benytte købte certifikater - eller også er jeg et fjols, det er også meget muligt :D
Men er der nogen af jer der har nogen erfaringer med dette?
Og arne_v, hvor kan jeg lave mig et gratis certifikat? Vil være kanon hvis jeg ikke skal til at lære at bruge apache og alle dens moduler, selvom jeg er 100% sikker på den er kanon at bruge når man først har fået det lært.
OpenSSL som er et gratis SSL produkt kommer med alt det der skal til for at udstede self-signed certifikater. Jeg har selv brugt det.
Jeg er 98% sikker på at ganske almindelig JDK også har de tools. Jeg har bare aldrig selv prøvet.
Bemærk, at når du åbner et site med et self-signed cerfiktat så popper der et grimt vindue op og informerer en om at certifikatet ikke er udstedt af en kendt leverandør.
Jeg har prøvet at benytte det keytool der hører med til den almindelige JDK, men med den får jeg jo bare indholdet af en fil der er krypteret med FX RSA, og det er så det indhold de forskellige anerkendte certifikatudstedere benytter til at lave dit certifikat.
Ok, hvis det kan laves så skal det virke. At det så ikke gør er en anden ting. Får .csr og .key filen, og jeg har også prøvet det før da jeg bekymrede mig om det sidste gang, men jeg får igen følgende fejl i en pop-up boks:
System Error: Blank Certificate An Empty Certificate was recieved.
The system returned error number -12285, which is SSL_ERROR_NO_CERTIFICATE: unable to find certificate or key nessecary for authentication.
Jeg indskriver dette i boksen hvor den be'r om .csr filens indhold, med headers: -----BEGIN NEW CERTIFICATE REQUEST----- MIIBtDCCAR0CAQAwdDELMAkGA1UEBhMCREsxEDAOBgNVBAgTB0Rlbm1hcmsxEDAOBgNVBAcTB0hv cnNlbnMxEzARBgNVBAoTCkZpc2ggR3JvdXAxFzAVBgNVBAsTDkZpc2ggR3JvdXAgSW5jMRMwEQYD VQQDEwpCaWxBdWt0aW9uMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDCxqkCOsq27Yc+hSEX XgcoDJru7hjI80O0euN3v8HH70BNHYTHh6whXk5LsnpqaLsuzSYSMinX6NMxk6qwy/a80lAWxLnn AoCLfOugtModa6unRNARPdPNWT4Oou3arNnQgqrvPjl9Vjjf29LaMbunM+4cLItlXMdhcAXZbZGV vwIDAQABoAAwDQYJKoZIhvcNAQEEBQADgYEAYylq2n5u+OcNuYjUh5MAEKwBd5Z3KsnajFy9G5eL HTM07rFjZOTFJtr0zisnTcYZ+makI1K09XYdcv+xOPw5giR9bbKvl4JMIGZibO5ih3FH331+U1Zj bqVr+3FQw4Wo+qzHRhYkV8ZhOIe8OvE1SJQmnGIT2bB16VOJf6tZD4g= -----END NEW CERTIFICATE REQUEST-----
Det er vel sådan man skal gøre? Kan jo være det simpelthen er serveren der er bug'ed.
Fandt mig en GUI til at benytte keytool, nu fik jeg så (tror jeg nok) dannet et certifikat. Jeg lavede et keypair, og udfra dette keypair kunne jeg se nogle certifikat details, hvor den ovenstående tekststring står. Når jeg så kopierer denne string ind, får jeg at vide at:
Incorrect Usage: No Private Key The server could not find the private key associated with this certificate
Så umiddelbart lader det i det mindste til at certifikatet er rigtigt, nu mangler jeg bare at få serveren til at finde key pair.
Ja - guderne må vide hvordan jeg så gør det ;D Kan finde jarsigner.exe, men den virker vist kun på jarfiler og det er jo ikke helt det jeg har brug for. Kan også oprette *.p7b og *.pfx filer via det keytool-GUI, men kan ikke helt se hvor serveren vil have noget lignende det henne af. Den kan ikke finde den private nøgle, men den beder ikke om det - kan jeg ikke helt li'.
Så langt så godt - fundet ud af at det certifikat alle skulle være self-signed. Men det gør det jo desværre ikke meget bedre. Tror jeg smutter over i et SSL forum med det her. Men jeg siger tak, igen :D
Jeg mener at der er 2 forskellige approaches: * nogle web-servere forventer at få 2 filer: server certifikat + bruger fil * nogle web-servere forventer at få 1 fil = server certifika appendet med bruger fil
Jeg har som sagt lavet det med OpenSSL kittet (og det virker sågar !) derhjemme. Og jeg kan sende dig noget i aften.
Men formentlig er det noget du kan få svar på i løbet af 5 minutter, hvis du får fat i nogle SSL hajer.
Hehehe, dem jeg har fået fat i derovre ind til videre har kun konstateret hvad jeg frygtede. At .cer filen er som den skal være, men at serveren ikke helt kan finde den private nøgle og det er så det jeg skal have fundet ud af at løse. Men det hører nok mere til i Webserver/andre tror jeg, så jeg får da bevæget mig lidt omkring :D
Iøvrigt er det absolut mest almindeligt med konfigurationer som:
browser---HTTPS---Apache---AJP---Tomcat
D.v.s. man lader web-serveren stå for SSL ikke JSP/servlet containeren.
To grunde: 1) traditionelt har kryptering (som er meget CPU tungt) været betydeligt hurtigere i C end i Java 2) man kan få hardware SSL acceleratorer til Apache (og IIS)
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
