импорт сертификатов PostMet в браузер

После добавления новых URL форума в альтернативных DNS (виртуальные хосты Apache) при защищённых соединениях сайт требует доверительного исключения - см. значок возле адресной строки (слева):

Это потому, что эти URL используют специально полученные сертификаты от PostMet http://www.postmet.ru/securepost.
Естественно, что браузер (и система) ничего не знают про такие сертификаты:

Код: Выделить всё

olej@R420:~$ wget https://linux-ru.lib:443 -O - > /dev/null
--2023-04-09 15:19:04--  https://linux-ru.lib/
Распознаётся linux-ru.lib (linux-ru.lib)… 90.156.230.27
Подключение к linux-ru.lib (linux-ru.lib)|90.156.230.27|:443... соединение установлено.
ОШИБКА: невозможно проверить сертификат linux-ru.lib, выпущенный ‘CN=CA Signing Certificate,OU=pki-tomcat,O=lvm.postmet.com Security Domain’:
  Обнаружен самостоятельно подписанный сертификат.
Для небезопасного подключения к linux-ru.lib используйте параметр «--no-check-certificate».

Olej писал(а): ↑
09 апр 2023, 20:43
Естественно, что браузер (и система) ничего не знают про такие сертификаты:

Вот что пишет об этом Alexander Kozyrev, один из руководителей фирмы PostMet:

та машина, где выполняется проверка wget https://linux-ru.lib:443 ничег
о не знает про наши корневые cacert & CASigningCertificate. У неё
стандартный список корневых сертификатов, например у меня в машине -
/var/lib/snapd/snap/core18/2667/etc/ssl/certs/ca-certificates.crt
у вас может быть
/etc/pki/ca-trust/extracted/openssl/ca-bundle.crt или
/etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt
и просто добавлением туда можно решить проблему, но чаще всего нужно
добавлять эти корневые сертификаты в хранилище ОС (/etc/pki/nssdb).

Для обычного использования этого сертификата для linux-ru.lib на
клиентской машине надо оба корневых cacert & CASigningCertificate
импортировать в браузер, раздел
Privacy => Security => Certificates => Authority
тогда предупреждений о безопасности на тему самоподписанных
сертификатах больше не будет.

Про то, где берутся файлы сертификатов написано в теме TODO:

Olej писал(а): ↑
09 апр 2023, 11:45
получены все сертификаты от http://www.postmet.ru/securepost.

Olej писал(а): ↑
09 апр 2023, 11:45
Здесь же (2 кнопки внизу, ниже "Посмотреть цены..." - это бесплатно) берутся их корневой и промежуточный подписной сертификаты:

Это файлы (вы их можете свободно скачать по ссылке выше):

Код: Выделить всё

olej@R420:~/2023/rus.linux.net.hist/OpenNIC/post2$ ls -l
итого 8
-rw-rw-r-- 1 olej olej 1802 апр  9 11:40 cacert.crt
-rw-rw-r-- 1 olej olej 1860 апр  9 11:40 CASigningCertificate.crt

Olej писал(а): ↑
09 апр 2023, 20:47
Вот что пишет об этом Alexander Kozyrev, один из руководителей фирмы PostMet:

Как сказано, сертификаты можно установить как для системы в целом, так и для браузера (-ров).
Меня интересует 2-е ...
Firefox:
Настройки -> Защита -> Сертификаты -> Просмотр сертификатов -> Импортировать

: Снимок экрана от 2023-04-09 20-30-38.png (64.37 КБ) 419 просмотров

После чего картинка окна форума поменяется (значок слева от адреса в строке поменялся):

: Снимок экрана от 2023-04-09 20-31-59.png (233.6 КБ) 419 просмотров

Olej писал(а): ↑
09 апр 2023, 20:55
Firefox

Вот, собственно и всё ...

P.S. С другими браузерами - во множестве производными от Chromium - я, возможно, и разберусь отдельно, в другой раз ... по свободе, похже.

Linux-ru