zabezpieczenie serwisu ssl-em

0

Witam,

Niedawno postawiłem stronę na serwerze. Chciałem zabezpieczyć ją dzięki openssl. Wygenerowałem pliki .key .csr .crt .pem i tu pojawia się moje pytanie. chciałbym sie dowiedzieć jak odpowiednio skonfigurować pliki w serwisie apache2 tak, żeby była widoczna taka ikonassl, bo póki co widoczna jest taka złe ssl. Dodam, że tesotawłem połączenie

przez openssl s_client -connect IP_serwera443

i otrzymałem

verify return:1

a na końcu

read:errno=0

Bardzo prosiłbym o pomoc.

PS. ta dobra ikona to zielona ikona kłódeczki i https:// ,a zła to wykrzyknik niebezpieczeństwo i przekreślony https na czerwono ;)

0

Zeby miec zielona klodke, musisz miec certyfikat podpisany przez autoryzowany CA (Certificate Authority), dotychczas takie certyfikaty sie kupowalo i dostajesz pliki .pem lub .cert i .key, obecnie mozna dostac za darmo z Letsencrypt. Jest mozliwe zaimportowanie twojego CA do przegladarki zeby rozpoznala jako autoryzowany ale jak to publicznyc serws to zapomnij. Tak czy siak, self signed SSL, czyli to co zrobiles ma sens jedynie jak ty bedziesz uzywal serwisu.

0

Twoje pytanie dowodzi tego, że nie rozumiesz po co jest ten ssl ani co znaczą te ikony. Zapłać hajs, kup zaufany certyfikat i kłódka będzie zielona.

0

Wygeneruj tym: https://letsencrypt.org/

Nie generuj sobie ssla sam, bo wtedy nikt user i tak nie będzie miał pewności, czy ten cert jest zaufany, i zawsze pojawi mu się info o tym, że cert zaufany nie jest.
Dopiero jeżeli go potwierdzi w przedlądarce i zapamięta to, to informacja przestanie się pokazywać.

Cały sens ssl oparty jest o to, że poprawność potwierdza jakaś zaufana instytucja(i to jest też problemem jeżeli chcesz się zabezpieczyć przed smutnymi panami).
Jeżeli wygenerujesz sam, to nie ma kto potwierdzić, więc najprościej będzie jak wygenerujesz sobie za pomocą linka który podałem i wtedy oni będą tymi którzy potwierdzą.

Co do zielonej kłódki, to osiągniesz to dopiero przez zakup EV.

0

Ja na moim webmailu na moim serwerze teź mam certyfikat ssl wygenerowany samodzielnie. Ale nie po to, żeby był zaufany, a po to żeby mieć tam httpd i żeby ruch był szyfrowany. To, że wyświetla mi się ostrzeżenie w przeglądarce mam akurat w dupie, ważne że nikt nie podsłucha mi hasła gdy loguję się do swojej poczty, bo wszystko leci po https. Sam sobie ufam i ufam certyfikatowi, który wygenerowałem.

0

tu dosyć ładnie prowadzi:
https://zerossl.com/free-ssl/#crt

0

Update: mam pliki csr oraz key, które są już z home.pl, ale mam problem z certyfikatem oraz plikami CA i ceryficat chain

0

Do apache podpinasz cert fullchain i klucz prywatny.

1 użytkowników online, w tym zalogowanych: 0, gości: 1