[ Marko24 @ 28.03.2010. 20:45 ] @
Dobio sam zadatak da na server od prijatelja instaliram SSL sertifikat za jedan domen, medjutim nisam ranije to nikada radio ovo mi je bio prvi put te nisam uspeo uspesno to da uradim.Server je CentOS a ja sam pratio upustva odavde
https://knowledge.geotrust.com...ex?page=content&id=SO10283
https://knowledge.geotrust.com...dex?page=content&id=SO6410
posto je tu i kupljen sertifikat.Ono sto sam uradio je sledece:
1.Uploadovo sertifikat u /usr/local/ssl/crt/public.crt
2.U /usr/local/ssl/private generisao private key sa komandom
Code:
openssl genrsa -des3 1024 > www.geotrust.com.key

3. u /usr/local/ssl/crt/ generisao CSR sa
Code:
openssl req -new -key ../private/www.geotrust.key > www.geotrust.com.csr

4. u Virtual Host u apache ubacio
Code:
SSLCertificateFile /usr/local/ssl/crt/public.crt
SSLCertificateKeyFile /usr/local/ssl/private/www.geotrust.com.key
i stavio SSLEngine on
Kada sam restartovao apache pitao me je password koji sam stavio za private key, ja sam ga ukucao i on je prihvatio to uspesno.Medjutim u logu dobijam
Code:

Unable to configure RSA server private key
[error] SSL Library Error: 185073780 error:0B080074:x509 certificate    routines:X509_check_private_key:key values mismatch

Proguglao sam i dosao do ovoga
Citat:
Compare the modulus of certificate against the modulus of the private key to see if they match
te iskoristio komande
Code:
openssl x509 -noout -text -in public.crt
i
Code:
openssl rsa -noout -text -in www.geotrust.com.key
i nazalost modules sekcije zaista jestu razlicte..Posto mi je ovo prvi put da isntaliram sertifikat jel bi mogao neko da mi objasni gde sam pogresao u ovom procesu jer ocigledno nisam dobio dobar private key file?
[ Marko24 @ 31.03.2010. 10:30 ] @
nove vesti - uspeo sam namestiti SSL - medjutim, ono sto me sada muci je to da ssl radi za sve direktorijume unutar document_roota, ali za sam document_root ne radi..vidim da prvo pocne da uchitava kao ssl al valjda se prebaci na obican http i dobijem upozorenje kako ce stranice biti poslane obicnim http-om, ima li neko ideju sta da uradim?
[ Tyler Durden @ 31.03.2010. 10:57 ] @
To je neki problem do konfiguracije Apache-a.
Kako ti izgleda dio vezan za https?
[ Marko24 @ 31.03.2010. 11:34 ] @
Ovo je sve sto imam vezano za SSL u httpd.conf

Code:

Listen 53.175.66.18:443
NameVirtualHost 53.175.66.18:443
<VirtualHost 53.175.66.18:443>
    ServerName www.xxxx.com
    DocumentRoot /home/apache/public_html/
   
    SSLEngine On
    SSLCertificateFile /usr/local/ssl/certs/cert.crt
    SSLCertificateKeyFile /usr/local/ssl/private/www.xxxx.com.key
    SSLVerifyClient none
    SSLProxyEngine off
</VirtualHost>
[ Marko24 @ 31.03.2010. 15:38 ] @
Jedno pitanje, da li su mi fajlovi favicon.ico, 404.shtml i crossdomain.xml nepohodni za ssl, posto vidim u logu da kada pokusam ssl konekciju pise
File does not exist:favicon.ico
File does not exist:404.shtml
File does not exist:crossdomain.xml
[ zikaa @ 03.04.2010. 10:52 ] @
Upozorenja za fajlove koji nedostaju mozes da zanemaris, nemaju nikakve veze sa ssl-om.

Jel si siguran da gledas dobar log file ? Pogledaj i log fajl samog servera i log file vhost-a.

Sto se tice konfiguracije za VirtualHost ona nije dobra.

Citat:

The DocumentRoot should be specified without a trailing slash.


[ Marko24 @ 05.04.2010. 23:22 ] @
Posle mnogo muke, saznao sam sta je bio problem.Stvar je u tome sto stranica koju sam otvarao preko https:// imala elemente koji referenciraju http adrese.Kada se to izbacilo sve radi bez greske.
[ squirll @ 15.10.2010. 20:18 ] @
Ja imam slican problem pa da ne otvaram novu temu ...
na serveru je Apache i nginx kao proxy radi... i sve to radi ok ...
nginx mi sad pravi problema promenio sam conf faj u ovako

Code:


    # HTTPS server

    server {
        add_header Cache-Control public;
        expires 90d;
        index index.html;
        listen       127.0.01:443 default;
        server_name  localhost;

        ssl                  on;
        ssl_certificate  /root/www_sajt_com.csr;
        ssl_certificate_key  /root/www_sajt_com.key;
        ssl_session_timeout  5m;
        ssl_protocols TLSv1;  #SSLv2 SSLv3 TLSv1;
        ssl_ciphers HIGH:!ADH:!MD5;  #ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
#        ssl_prefer_server_ciphers   on;
        ssl_session_cache shared:SSL:1m;
        location / {
            root   html;
            index  index.html index.htm;
        }
    }



kad hocu da restartujem nginx dobijem sledece

Citat:

SSL_CTX_use_certificate_chain_file("/root/www_sajt_com.csr") failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line error:140DC009:SSL routines:SSL_CTX_use_certificate_chain_file:PEM lib)
configuration file /etc/nginx/nginx.conf test failed


a kad ih uporedjujem sa x509 i rsa dobijem

Code:

[root@LBKV001 ~]# openssl x509 -noout -text -in www_sajt_com.key
unable to load certificate
24304:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:647:Expecting: TRUSTED CERTIFICATE


U cemu je problem?



[Ovu poruku je menjao squirll dana 15.10.2010. u 21:33 GMT+1]

[Ovu poruku je menjao squirll dana 15.10.2010. u 21:33 GMT+1]

[Ovu poruku je menjao squirll dana 15.10.2010. u 21:34 GMT+1]
[ cveticmilan @ 15.10.2010. 20:41 ] @
listen 127.0.01:443 default;

fali tacka posle druge nule :)
[ squirll @ 15.10.2010. 20:52 ] @
istina je :) hvala ..ali to nije problem...nesto sa sertifikatima ne valja a nzm sta :S
[ Goran Rakić @ 16.10.2010. 04:17 ] @
Nisi ga konvertovao u PEM format.

A ako ti je ovo Certificate Signing Request onda moraš da to pošalješ da CA potpiše i preuzmeš nazad CRT ili da potpišeš sam (self-signed cert) generisanim privatnim ključem.
[ squirll @ 18.10.2010. 11:42 ] @
Da crt je bio problem i sad je ok ...ali eto meni drugog problema...


nginx config fajl odradim tj relodujem nema errora sve je ok


odem na httpS stranicu sajta tamo lepo prepozna sertifiakt sve je ok ALI php fajlove prikazuje kao plain tekst, a na http radi redovno sve...
Celo jutro gubim na ovome, mime types su ucitani od apacha ssa drugog servera tamo ok radi ...

conf fajl mi ovako izgleda (jedan deo)

Code:

    server {
        add_header Cache-Control public;
        expires 90d;
        #index index.php;
        listen      127.0.0.1:443 default ssl;
        server_name www.sajt.com;

        ssl                  on;
        ssl_certificate      /root/asset.crt;
        ssl_certificate_key  /root/asset.key;
        ssl_session_timeout  5m;
        ssl_protocols TLSv1;  #SSLv2 SSLv3 TLSv1;
        ssl_ciphers HIGH:!ADH:!MD5;  #ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
        #ssl_prefer_server_ciphers   on;
        ssl_session_cache shared:SSL:1m;
        location / {
        # proxy_pass http://www.sajt.com;
         root   /www/sajt/http_root/;
         index index.php;
        # include /etc/nginx/proxy.conf;
        # proxy_redirect on;
        # proxy_Set_header Host $host;
        }
    }



Neka ideja?