- Помогите разобраться с сертификатами,
 tester, 02:15 , 17-Июл-22 (1)точно также openssl x509 покажет тебе серт то что они дали там видно будет
- Помогите разобраться с сертификатами, Nightman_Sha, 12:00 , 17-Июл-22 (4)
> точно также openssl x509 покажет тебе серт то что они дали там
> видно будет openssl x509 -in cert.pem -text
-- Certificate:
Data:
Version: 3 (0x2)
Serial Number:
12:00:04:55:a7:aa:bb:8b:39:c0:3b:04:76:00:06:00:04:55:a7
Signature Algorithm: sha256WithRSAEncryption
Issuer: DC = com, DC = someOutOrg, CN = someOutOrg-IssuingCA
Validity
Not Before: Nov 5 10:08:49 2019 GMT
Not After : Nov 4 10:08:49 2022 GMT
Subject: C = KZ, ST = Somewhere, L = Somewhere, O = someOutOrg JSC, OU = Development, CN = *.someOutOrg.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public-Key: (4096 bit)
Modulus:
<skip>
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Alternative Name:
DNS:*.someOutOrg.com
X509v3 Subject Key Identifier:
91:88:AF:CA:AA:53:1E:88:40:67:A8:CB:A2:9A:1B:9A:15:26:BC:EE
X509v3 Authority Key Identifier:
keyid:5B:15:38:BA:4B:6D:61:E6:AA:80:5B:06:74:F8:24:4A:EF:15:2F:12 X509v3 CRL Distribution Points: Full Name:
URI:ldap:///CN=someOutOrg-IssuingCA(5),CN=myCA,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=someOutOrg,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint
URI:http://myCA.someOutOrg.com/CertEnroll/someOutOrg-IssuingCA(5).crl
URI:file:////myCA.someOutOrg.com/CertEnroll/someOutOrg-IssuingCA(5).crl Authority Information Access:
CA Issuers - URI:ldap:///CN=someOutOrg-IssuingCA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=someOutOrg,DC=com?cACertificate?base?objectClass=certificationAuthority
CA Issuers - URI:http://myCA.someOutOrg.com/CertEnroll/someOutOrg-IssuingCA(6).crl X509v3 Key Usage: critical
Digital Signature, Key Encipherment
1.3.6.1.4.1.311.21.7:
0-.%+.....7.........B.....X...@.F...z...i..d...
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
1.3.6.1.4.1.311.21.10:
0.0
..+.......0
..+.......
Signature Algorithm: sha256WithRSAEncryption
<skip>
-----BEGIN CERTIFICATE-----
<skip>
-----END CERTIFICATE-----
А что это дает?
- Помогите разобраться с сертификатами, муу, 11:27 , 17-Июл-22 (2)
есть мнение что спрашивающий некомптентен и вообще не в курсе что ему дали и зачем
есть мнение что это клиентский сертификат для авторизации на ресурсе и подписан он собственной CA ресурса> Непонятно, что теперь делать? Можно ли как то обмануть систему. Или владельцы сервиса https дали мне неполный набор сертификатов нанять админа
- Помогите разобраться с сертификатами, Nightman_Sha, 11:44 , 17-Июл-22 (3)
> есть мнение что спрашивающий некомптентен и вообще не в курсе что ему
> дали и зачем
> есть мнение что это клиентский сертификат для авторизации на ресурсе и подписан
> он собственной CA ресурса Очевидно. >> Непонятно, что теперь делать? Можно ли как то обмануть систему. Или владельцы сервиса https дали мне неполный набор сертификатов
> нанять админа Ваше мнение очень важно для меня. Но похоже вы тоже, не очень понимаете, что сказать, поэтому к чем сотрясать воздух - не понятно.
- Помогите разобраться с сертификатами, муу, 15:28 , 17-Июл-22 (9)
> Ваше мнение очень важно для меня. Но похоже вы тоже, не очень
> понимаете, что сказать, поэтому к чем сотрясать воздух - не понятно. я понимаю и что сказать и даже угадал что сертификат для авторизации клиента
а вы вообще нифига не понимаете как это работает, иначе не стали бы страдать ерундой пытаясь использовать _клиентский_ серт для верификации https сервера, посему настоятельно рекомендую вашему работаделю нанять компетентного админа, а не мальчика по объявлянию - Помогите разобраться с сертификатами, Nightman_Sha, 16:26 , 17-Июл-22 (10)
>> есть мнение что спрашивающий некомптентен и вообще не в курсе что ему
>> дали и зачем
>> есть мнение что это клиентский сертификат для авторизации на ресурсе и подписан
>> он собственной CA ресурса
> Очевидно.
>>> Непонятно, что теперь делать? Можно ли как то обмануть систему. Или владельцы сервиса https дали мне неполный набор сертификатов
>> нанять админа
> Ваше мнение очень важно для меня. Но похоже вы тоже, не очень
> понимаете, что сказать, поэтому к чем сотрясать воздух - не понятно. Остался без работы? Ну не печалься. Все образуется
- Помогите разобраться с сертификатами, ыы, 21:14 , 17-Июл-22 (11)
>>> есть мнение что спрашивающий некомптентен и вообще не в курсе что ему
>>> дали и зачем
>>> есть мнение что это клиентский сертификат для авторизации на ресурсе и подписан
>>> он собственной CA ресурса
>> Очевидно.
>>>> Непонятно, что теперь делать? Можно ли как то обмануть систему. Или владельцы сервиса https дали мне неполный набор сертификатов
>>> нанять админа
>> Ваше мнение очень важно для меня. Но похоже вы тоже, не очень
>> понимаете, что сказать, поэтому к чем сотрясать воздух - не понятно.
> Остался без работы? Ну не печалься. Все образуется Тихо сам с собой ведет беседу... :)
- Помогите разобраться с сертификатами, ннова, 12:10 , 17-Июл-22 (5)
- Помогите разобраться с сертификатами, Nightman_Sha, 12:19 , 17-Июл-22 (6)
- Помогите разобраться с сертификатами, ннова, 12:34 , 17-Июл-22 (7)
- Помогите разобраться с сертификатами, Ann None, 15:16 , 17-Июл-22 (8)
- Помогите разобраться с сертификатами, ыы, 08:21 , 18-Июл-22 (12)
>>> Нужно только для curl? Опции --cert и --key:
>>> https://everything.curl.dev/usingcurl/tls/clientcert
>> К сожалению не только для curl.
>> Еще есть приклад который прекрасно работает по http, но никак не может
>> работать по https
> Ну если "приклад", и не удается ему подсунуть сертификат, то есть еще
> вариант проксировать используя forward proxy через Nginx или Apache:
> приклад -> http://localhost:8080 -> https://service.com
> Nginx (proxy_ssl_certificate), https://nginx.org/en/docs/http/ngx_http_proxy_module.html#pr...
> Apache (SSLProxyMachineCertificateFile), https://httpd.apache.org/docs/current/mod/mod_ssl.html Не зная о каком приложении идет речь - самый разумный совет -это все таки нанять админа. Потому что если у него не получится- виноваты окажетесь вы...
Человек не понимает о каком сертификате идет речь. Человек не понимает зачем ему выдали сертификат..Следовательно он не понимает как работает приложение...
Нанять человека который просто сделает это за деньги - самый разумный выход. В противном случае выбранный подход означает что задача вообще говоря не сильно нужная.
- Помогите разобраться с сертификатами, Сергей, 10:42 , 18-Июл-22 (13)
>> Нужно только для curl? Опции --cert и --key:
>> https://everything.curl.dev/usingcurl/tls/clientcert
> К сожалению не только для curl.
> Еще есть приклад который прекрасно работает по http, но никак не может
> работать по https Вы посмотрите повнимательнее, что вам выдали, простым блокнотом к примеру, там могут лежать, как клиентский сертификат, так и ключ к нему, так и сертификат центра сертификации, который все это выдал...
- Помогите разобраться с сертификатами, Тот Самый, 03:03 , 19-Июл-22 (14)
>update-ca-trust
>curl --cacertА ему выдали сертификат
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication Если софтина не умеет авторизоваться сертификатом (curl и Firefox умеют), то самый простой вариант, как уже сказали, stunnel. Но для начала - в школу, за учебники. Надо как минимум понимать разницу между СА и клиентским сертификатом
- Помогите разобраться с сертификатами, BarS, 13:44 , 20-Июл-22 (15)
Слов было много. Тебе дали не ca сертификат, найди от него ca и добавь в файл a trust сертификатами
- Помогите разобраться с сертификатами, Аноним, 13:31 , 21-Июл-22 (16)
права файлов проверьте, логи
- Помогите разобраться с сертификатами, cylon, 14:54 , 26-Июл-22 (17)
> Добрый день!
> Подключаемся к стороннему сервису по https. Нам владельцы сервиса https дали сертификат
> для взаимодействия, в формате cer. Перевел в формат pem успешно.в этом ошибка в cer оба ключа и приватный и публичный, в pem ты получил что-то одно.
конвертируй в p12
- Помогите разобраться с сертификатами, cylon, 15:05 , 26-Июл-22 (18)
в cer может быть насколько сертификатов и ключей, для https авторизация по ключу у тебя в системе должен быть сертификат CA и твой подписанный этим CA сертификат. Все это могли и одним cer файлом предать.а pem это просто один ключ
- Помогите разобраться с сертификатами, ыы, 22:00 , 26-Июл-22 (19)
> а pem это просто один ключ это формат такой. там может быть сколько угодно чего угодно... ====
Файл Pem начинается с:
-----BEGIN -----
Кодированные блоки данных Base64
-----END -----
Данные кодируются с помощью base64 между этими тегами.
Файл pem состоит из нескольких блоков.
Назначение каждого блока или файла pem объясняется в заголовке, который сообщает вам, как используется данный блок.
====
- Помогите разобраться с сертификатами, cylon, 14:28 , 27-Июл-22 (20)
>[оверквотинг удален]
> ====
> Файл Pem начинается с:
> -----BEGIN -----
> Кодированные блоки данных Base64
> -----END -----
> Данные кодируются с помощью base64 между этими тегами.
> Файл pem состоит из нескольких блоков.
> Назначение каждого блока или файла pem объясняется в заголовке, который сообщает вам,
> как используется данный блок.
> ==== ты прав глупостей понаписал некоторых :) но для "TLS Web Client Authentication" кроме самого сертификата в котором есть публичный ключ, нужен еще и приватный ключ. Я генерю это все через easyrsa3, и для браузеров пакую в p12 сертификат и ключ и савлю на клаинтах. у ТС какая-то такая же проболема, чтоб авторизоваться по https одного сертификата мало, надо еще и приватный ключ как то указывать
- Помогите разобраться с сертификатами, cylon, 14:40 , 27-Июл-22 (21)
процедура ведь:
1. создать ключ приватный и публичный
2. создать запрос используя ключ, чтоб CA дал подписанный клиентский сертификат
3. дальше CA на основании запроса формирует клиентский подписанный сертификат. И как бы CA приватный ключ не знает, и в клиентском сертификате его нет, но для авторизации он нужен. не занаю как для curl, но для браузеров надо объединить сертификат и приватный ключ в один файлик p12 и тогда уже добавлять, для curl скорей всего еще один параметр нужен какой-то :)
|
Версия для распечатки
Помогите разобраться с сертификатами, 
