Страница 1 из 1
импорт сертификатов PostMet в браузер
Добавлено: 09 апр 2023, 20:43
Olej
После добавления новых URL форума в альтернативных DNS (
виртуальные хосты Apache) при защищённых соединениях сайт требует
доверительного исключения - см. значок возле адресной строки (слева):
Это потому, что эти URL используют специально полученные сертификаты от PostMet
http://www.postmet.ru/securepost.
Естественно, что браузер (и система) ничего не знают про такие сертификаты:
Код: Выделить всё
olej@R420:~$ wget https://linux-ru.lib:443 -O - > /dev/null
--2023-04-09 15:19:04-- https://linux-ru.lib/
Распознаётся linux-ru.lib (linux-ru.lib)… 90.156.230.27
Подключение к linux-ru.lib (linux-ru.lib)|90.156.230.27|:443... соединение установлено.
ОШИБКА: невозможно проверить сертификат linux-ru.lib, выпущенный ‘CN=CA Signing Certificate,OU=pki-tomcat,O=lvm.postmet.com Security Domain’:
Обнаружен самостоятельно подписанный сертификат.
Для небезопасного подключения к linux-ru.lib используйте параметр «--no-check-certificate».
импорт сертификатов PostMet в браузер
Добавлено: 09 апр 2023, 20:47
Olej
Olej писал(а): ↑09 апр 2023, 20:43
Естественно, что браузер (и система) ничего не знают про такие сертификаты:
Вот что пишет об этом Alexander Kozyrev, один из руководителей фирмы PostMet:
та машина, где выполняется проверка wget
https://linux-ru.lib:443 ничег
о не знает про наши корневые cacert & CASigningCertificate. У неё
стандартный список корневых сертификатов, например у меня в машине -
/var/lib/snapd/snap/core18/2667/etc/ssl/certs/ca-certificates.crt
у вас может быть
/etc/pki/ca-trust/extracted/openssl/ca-bundle.crt или
/etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt
и просто добавлением туда можно решить проблему, но чаще всего нужно
добавлять эти корневые сертификаты в хранилище ОС (/etc/pki/nssdb).
Для обычного использования этого сертификата для linux-ru.lib на
клиентской машине надо оба корневых cacert & CASigningCertificate
импортировать в браузер, раздел
Privacy => Security => Certificates => Authority
тогда предупреждений о безопасности на тему самоподписанных
сертификатах больше не будет.
импорт сертификатов PostMet в браузер
Добавлено: 09 апр 2023, 20:51
Olej
Про то, где берутся
файлы сертификатов написано в теме
TODO:
Olej писал(а): ↑09 апр 2023, 11:45
Здесь же (2 кнопки внизу, ниже "Посмотреть цены..."
- это бесплатно) берутся их корневой и промежуточный подписной сертификаты:
Это файлы (вы их можете
свободно скачать по ссылке выше):
Код: Выделить всё
olej@R420:~/2023/rus.linux.net.hist/OpenNIC/post2$ ls -l
итого 8
-rw-rw-r-- 1 olej olej 1802 апр 9 11:40 cacert.crt
-rw-rw-r-- 1 olej olej 1860 апр 9 11:40 CASigningCertificate.crt
импорт сертификатов PostMet в браузер
Добавлено: 09 апр 2023, 20:55
Olej
Olej писал(а): ↑09 апр 2023, 20:47
Вот что пишет об этом Alexander Kozyrev, один из руководителей фирмы PostMet:
Как сказано, сертификаты можно установить как для системы в целом, так и для браузера (-ров).
Меня интересует 2-е ...
Firefox:
Настройки -> Защита -> Сертификаты -> Просмотр сертификатов -> Импортировать
- Снимок экрана от 2023-04-09 20-30-38.png (64.37 КБ) 452 просмотра
После чего картинка окна форума поменяется (значок слева от адреса в строке
поменялся):
- Снимок экрана от 2023-04-09 20-31-59.png (233.6 КБ) 452 просмотра
импорт сертификатов PostMet в браузер
Добавлено: 09 апр 2023, 20:58
Olej
Olej писал(а): ↑09 апр 2023, 20:55
Firefox
Вот, собственно и всё ...
P.S. С другими браузерами - во множестве производными от Chromium - я, возможно, и разберусь отдельно, в другой раз ... по свободе, похже.