On 2015-11-25, Artem Chuprina wrote:
> Вот меня в нижеприведенном прям смущает, что конфиг совсем
> минималистичный. openssl нынче что, сам догадывается поставить
> правильное назначение сертификата в зависимости от того, делают его
> самоподписанным или подписывают заявку?
> Можно посмотреть вывод openssl x509 -text -noout этих обоих сертификатов
> в части X509v3 extensions?
>
> У меня для сертификата CA там показывают
>
> X509v3 Basic Constraints:
> CA:TRUE
> X509v3 Key Usage:
> Certificate Sign, CRL Sign
>
X509v3 extensions:
X509v3 Subject Key Identifier:
D2:7C:EB:58:DD:F7:74:EA:01:3F:60:C6:73:D4:40:1F:88:38:96:AA
X509v3 Authority Key Identifier:
keyid:D2:7C:EB:58:DD:F7:74:EA:01:3F:60:C6:73:D4:40:1F:88:38:96:AA
X509v3 Basic Constraints:
CA:TRUE
> а для сертификата сервера
>
> X509v3 Basic Constraints:
> CA:FALSE
> Netscape Cert Type:
> SSL Server
> X509v3 Extended Key Usage:
> TLS Web Server Authentication
Нету секции "X509v3 extensions".
================================================================
В lighttpd всунул сертификат сервера:
$ cat /etc/ssl/private/proftpd.key /etc/ssl/certs/proftpd.crt >
/etc/lighttpd/lighttpd.pem
Как отпостил ранее, созданый CA сертификат поместил в хранилище Debian.
curl / wget стали загружать страницы с HTTPS без -k / --no-check-certificate
Я всунул CA сертификат в Iceweasel (через preference -> advanced ->
certificates -> authorities).
Страницы просто сразу открывались (без предложения доверять сертификату
сервера).
--
Best regards!
