SSL, Apache och skapa certifikat

Tråden skapades och har fått 5 svar. Det senaste inlägget skrevs .
1

Jag tänkte dra igång en Subversion-server, via svn+ssh://mydomain.se. Av den anledningen behöver jag generera ett certifikat för detta ändamål. Det ska gå i Certifikatassistenten, som man på ett enkelt sätt kan komma åt ifrån Nyckelhanteraren. Jag har skapat en egen självsignerad certificate authority för detta ändamål. Det var inga problem.

Med denna certifikatutfärdare så ska jag sedan skapa det certifikat och krypteringsnycklar som krävs för SSL, och det är här jag inte lyckas riktigt. Jag kommer igenom hela proceduren, men i slutet får jag ett felmeddelande som säger att certifikatet inte kan skapas. Det är ju en mängd inställningar som ska göras, och förmodligen är det någon inställning som jag gör fel någonstans.

Är det någon som har lyckats ta sig igenom denna procedur, och kan beskriva steg för steg hur inställningarna ska vara? Jag är inte helt novis på datorer. Jag har hållit på med programmering sedan 1979. Däremot är jag inte lika duktig på det här med certifikat, som synes.

För att spä på problemet ytterligare så är mittt domännamn ett IDN (International Domain Name), dvs det innehåller tecken som inte är ASCII, som t.ex åäö.

När man genererar certifikatet så ska man på ett par ställen skriva in namnet på den domän som certifikatet ska gälla för. Det står att man ska fylla i DNS-namnet. Fråga är då om det är namnet som det står i en URL eller ska man skriva in det som punycode?

Jag har provat båda varianterna i kombination med olika inställningar av andra parametrar, men ändå inte lyckats. Det måste alltså vara någon av de andra parametrarna som är fel.

  • Medlem
  • Stockholm
  • 2007-12-03 11:10
Ursprungligen av sslwannabe:

Jag tänkte dra igång en Subversion-server, via svn+ssh://mydomain.se. Av den anledningen behöver jag generera ett certifikat för detta ändamål. Det ska gå i Certifikatassistenten, som man på ett enkelt sätt kan komma åt ifrån Nyckelhanteraren. Jag har skapat en egen självsignerad certificate authority för detta ändamål. Det var inga problem.

Med denna certifikatutfärdare så ska jag sedan skapa det certifikat och krypteringsnycklar som krävs för SSL, och det är här jag inte lyckas riktigt. Jag kommer igenom hela proceduren, men i slutet får jag ett felmeddelande som säger att certifikatet inte kan skapas. Det är ju en mängd inställningar som ska göras, och förmodligen är det någon inställning som jag gör fel någonstans.

Är det någon som har lyckats ta sig igenom denna procedur, och kan beskriva steg för steg hur inställningarna ska vara? Jag är inte helt novis på datorer. Jag har hållit på med programmering sedan 1979. Däremot är jag inte lika duktig på det här med certifikat, som synes.

För att spä på problemet ytterligare så är mittt domännamn ett IDN (International Domain Name), dvs det innehåller tecken som inte är ASCII, som t.ex åäö.

När man genererar certifikatet så ska man på ett par ställen skriva in namnet på den domän som certifikatet ska gälla för. Det står att man ska fylla i DNS-namnet. Fråga är då om det är namnet som det står i en URL eller ska man skriva in det som punycode?

Jag har provat båda varianterna i kombination med olika inställningar av andra parametrar, men ändå inte lyckats. Det måste alltså vara någon av de andra parametrarna som är fel.

själva felmedelandet som du får vore hjälpsamt.. i allmänhet tycker jag dock att domännamn med tecken utan för US-ASCII är en dålig ide då det brukar strula..

Ursprungligen av ntity:

själva felmeddelandet som du får vore hjälpsamt.. i allmänhet tycker jag dock att domännamn med tecken utan för US-ASCII är en dålig ide då det brukar strula..

Nej, felmeddelandet är inte speciellt hjälpsamt, och inte hjälpfilerna för certifikatassistenten heller. Om du absolut vill ha texten i felmeddelandet så är den "Data verkar inte vara ett giltigt certifikat". Jag har provat att skriva in mitt domännamn både som text: www.räksmörgås.nu och som punycode xn--rksmrgs-5wao1o, med samma resultat. Jag har provat med de inställningar som jag tycker borde vara riktiga, och även med de defaultinställningar som föreslås av certifikatassistenten när jag skapar certifikatet.

Vad är det som strular med IDN? Jag har i alla fall inga problem med det. Är det DNS du har problem med? DNS har aldrig hanterat namn med teckenkoder 128 och uppåt. Domänamn med t.ex åäö i namnet måste kodas om, enligt ovan. Om man gör det så är det inga problem.

BTW: Vad är US-ASCII? All ASCII är ju amerikansk per definition, annars vore det ju knappast ASCII (American Standard Code for Information Interchange).

  • Medlem
  • Stockholm
  • 2007-12-04 09:03
Ursprungligen av sslwannabe:

Nej, felmeddelandet är inte speciellt hjälpsamt, och inte hjälpfilerna för certifikatassistenten heller. Om du absolut vill ha texten i felmeddelandet så är den "Data verkar inte vara ett giltigt certifikat". Jag har provat att skriva in mitt domännamn både som text: www.räksmörgås.nu och som punycode xn--rksmrgs-5wao1o, med samma resultat. Jag har provat med de inställningar som jag tycker borde vara riktiga, och även med de defaultinställningar som föreslås av certifikatassistenten när jag skapar certifikatet.

Vad är det som strular med IDN? Jag har i alla fall inga problem med det. Är det DNS du har problem med? DNS har aldrig hanterat namn med teckenkoder 128 och uppåt. Domänamn med t.ex åäö i namnet måste kodas om, enligt ovan. Om man gör det så är det inga problem.

BTW: Vad är US-ASCII? All ASCII är ju amerikansk per definition, annars vore det ju knappast ASCII (American Standard Code for Information Interchange).

eftersom jag är lat kopierar jag wikipedias artikel, orka skriva om samma sak

Citat:

RFC 1345 (published in June 1992) and the IANA registry of character sets (ongoing), both recognize the following case-insensitive aliases for ASCII as suitable for use on the Internet:

  • ANSI_X3.4-1968 (canonical name)

  • ANSI_X3.4-1986

  • ASCII (with ASCII-7 and ASCII-8 variants)

  • US-ASCII (preferred MIME name)

  • us

  • ISO646-US

  • ISO_646.irv:1991

  • iso-ir-6

  • IBM367

  • cp367

  • csASCII

Of these, only the aliases "US-ASCII" and "ASCII" have achieved widespread use. One often finds them in the optional "charset" parameter in the Content-Type header of some MIME messages, in the equivalent "meta" element of some HTML documents, and in the encoding declaration part of the prolog of some XML documents.

som du ser är us-ascii det föredragna namnet..

Det som strular med IDN är #1|1 äldre system och webbläsare kan inte konvertera, #2|2 att koda om är egentligen ingen bra ide, bättre hade varit byta till Unicode, men eftersom det inte lär hända snart.. #3|3 lycka till att få icke svenska kunder/besökare till en sida med ett IDN namn..

På felmedelandet låter det som om du försöker signera request filen och inte certifikatet dock, vilket blir fel.. vilken guide använder du eller använder du CA scriptet som kommer med openssl ?

Ursprungligen av ntity:

...bättre hade varit byta till Unicode, men eftersom det inte lär hända snart..

Jag håller med. Jag fattar inte heller varför de gjorde som de gjorde med Punycode och allt. Det blir bara omständigt för alla som inte kör med rena ASCII-namn som domännamn.

Ursprungligen av ntity:

#3 lycka till att få icke svenska kunder/besökare till en sida med ett IDN namn..

Jag är inte intresserad av utländska besökare. Den aktuella siten kommer att handla om min egen släktforskning, och är därför inte så intressant för de flesta andra utom just min släkt. I och för sig har jag släkt i USA, men de har jag utbyte av information med på annat sätt. Denna websida är för alla de i min släkt som INTE släktforskar, och som är intresserade av mina forskningsresultat.

Skälen till att jag inte vill köra ASCII-namn är flera. Dels finns det efternamn som t.ex mitt, där namnet om jag skriver o istället för ö, råkar vara upptaget under alla toppdomäner jag undersökt. Dels har jag en domän med ordet släktforskning i, och det blir ju slaktforskning om jag bara använder ASCII. Det blir ju inte så lyckat.

Ursprungligen av ntity:

På felmedelandet låter det som om du försöker signera request filen och inte certifikatet dock, vilket blir fel.. vilken guide använder du eller använder du CA scriptet som kommer med openssl ?

Nej, det är inte requestfilen jag signerar. Som jag skrev så använder jag Certifikatassistenten (som i sin tur använder sig av openssl) för att skapa certifikat. Jag har skapat certifikat förut med den. Dock aldrig ett för just SSL. Det är det enda cert jag misslyckats med.

Jag har alltså skapat min egen CA, och med den kan jag sedan skapa andra certifikat.

  • Medlem
  • Stockholm
  • 2007-12-05 17:59
Ursprungligen av sslwannabe:

Jag håller med. Jag fattar inte heller varför de gjorde som de gjorde med Punycode och allt. Det blir bara omständigt för alla som inte kör med rena ASCII-namn som domännamn.

Jag är inte intresserad av utländska besökare. Den aktuella siten kommer att handla om min egen släktforskning, och är därför inte så intressant för de flesta andra utom just min släkt. I och för sig har jag släkt i USA, men de har jag utbyte av information med på annat sätt. Denna websida är för alla de i min släkt som INTE släktforskar, och som är intresserade av mina forskningsresultat.

Skälen till att jag inte vill köra ASCII-namn är flera. Dels finns det efternamn som t.ex mitt, där namnet om jag skriver o istället för ö, råkar vara upptaget under alla toppdomäner jag undersökt. Dels har jag en domän med ordet släktforskning i, och det blir ju slaktforskning om jag bara använder ASCII. Det blir ju inte så lyckat.

Nej, det är inte requestfilen jag signerar. Som jag skrev så använder jag Certifikatassistenten (som i sin tur använder sig av openssl) för att skapa certifikat. Jag har skapat certifikat förut med den. Dock aldrig ett för just SSL. Det är det enda cert jag misslyckats med.

Jag har alltså skapat min egen CA, och med den kan jag sedan skapa andra certifikat.

Äntligen hade jag lite tid över att testa certifikat assistenten, hur du lyckas missa dock förstår jag inte

Då du redan har ditt CA, starta cert assistenten igen, kör guiden för "Request a certificate from a CA" (vad nu den menyn heter på svenska) knappa in mailadressen som du gav ditt CA, öppna csr filen som kommer med mailen (eller om du sparar den lokalt) och följ guiden för att signera det är bara välja CA om du har flera och klicka frortsätt.

Den ger ut en .p7b fil som är ett format som apache inte förstår sig på så du måste konvertera det med openssl kommandot, ngt i stil med:

openssl pkcs7 -in key.p7b -nocerts -nodes -out key.pem

fixar biffen.

1
Bevaka tråden