Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » http/web - Создать свой сертификат для localhost

Ответить
Настройки темы
http/web - Создать свой сертификат для localhost
ES ES сейчас на форуме

Ветеран


Сообщения: 716
Благодарности: 10

Профиль | Отправить PM | Цитировать


Здравствуйте!

У нас на ПК работает своя служба.
Для работы с настройками этой службы используется браузер и подключается к адресу localhost.
Мы используем Google Chrome.

Подключение идет на адрес https://localhost/.
И при первом подключении всегда выдается ошибка:
"Ваше подключение не защищено..."
Приходится каждый раз нажимать кнопку "Дополнительно" и далее нажимать "Перейти на сайт".

Хочется сделать так, чтобы это сообщение не появлялось.
В интернете прочитал, что для этого нужно сделать свой сертификат для localhost.

Подскажите, пожалуйста, как это делается?

Отправлено: 12:32, 01-08-2018

 
ES ES сейчас на форуме Автор темы

Ветеран


Сообщения: 716
Благодарности: 10

Профиль | Отправить PM | Цитировать


Цитата Jula0071:
Это решит проблему? »
Нет, не решит. Поскольку CN у вас 501, то и добавление в hosts записи, указывающей на 127.0.0.1 не решит, так как стандарт запрещает использовать в именах только цифры. »
Ага, значит это косяк производителя ПО?
Если бы они нас назвали в сертификате например "А501", и вместе с "рабочим" сертификатом предоставили бы свой корневой сертификат, то это решило бы проблему?

Отправлено: 16:58, 07-08-2018 | #21



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для DJ Mogarych

fascinating rhythm


Moderator


Сообщения: 4413
Благодарности: 704

Профиль | Сайт | Отправить PM | Цитировать


Вариант 1: добавьте уже существующий кривой сертификат в "Доверенные корневые".
Вариант 2: запускайте Хром с ключом --ignore-certificate-errors (не рекомендуется).

Отправлено: 10:39, 08-08-2018 | #22


Ветеран


Сообщения: 1308
Благодарности: 250

Профиль | Отправить PM | Цитировать


Цитата ES:
Ага, значит это косяк производителя ПО? »
Косяк поставщика уже в том, что ключ и сертификат он создал за вас – это грубейшее нарушение принципов асимметричного шифрования (главным образом создание приватного ключа левыми людьми). Да, понятно, что в работе с сертификатами заказчик может и не разбираться, поэтому поставщику проще слепить тяп-ляп, но это неправильно. Впрочем, как я уже показал, в этом нет ничего сложного, когда разберёшься. Серверный софт, использующий шифрованный канал передачи вроде SSL/TLS, часто поставляется с bogus сертификатами. Создание (или в случае "настоящих" сертификатов – запрос на подпись у центра сертификации) и установка сертификатов – это забота пользователя, а не производителя. Иногда этим занимается интегратор, если у заказчика нет ресурсов для самостоятельной настройки сложного ПО, но такие вещи нужно сразу оговаривать. "Неправильный" сертификат-затычка не блокирует работу ПО, а лишь мозолит глаз красным значком и заставляет делать два лишних клика. Большинство юзеров на такую мелочь просто не обращают внимания.
Цитата ES:
Если бы они нас назвали в сертификате например "А501", и вместе с "рабочим" сертификатом предоставили бы свой корневой сертификат, то это решило бы проблему? »
Только вам пришлось бы ещё прописать в hosts 127.0.0.1 a501 и обращаться по адресу https://a501. Но это может не сработать, если сервер настроен проверять доменное имя, по которому к нему обращаются.

Так что долбите поддержку, проинструктировать, как устанавливать ваш собственный сертификат они просто обязаны. Если это не описано в документации (что неправильно, но увы вполне обычно для узконишевых продуктов). Что вам сразу не рассказали – это нормально, на первой линии сидят не великого ума и знаний люди, отвечающие тупо по опроснику, а если вопрос не входит в опросник, то и ответить на него не способны. Настойчиво попросите их эскалировать ваш вопрос к тому, кто владеет нужной информацией.

-------
ПМ стираю не читая. Не пишите мне.


Отправлено: 11:25, 08-08-2018 | #23

ES ES сейчас на форуме Автор темы

Ветеран


Сообщения: 716
Благодарности: 10

Профиль | Отправить PM | Цитировать


Цитата DJ Mogarych:
Вариант 1: добавьте уже существующий кривой сертификат в "Доверенные корневые". »
Так он же не корневой?

Цитата Jula0071:
Но это может не сработать, если сервер настроен проверять доменное имя, по которому к нему обращаются »
Под сервером здесь что имеется ввиду?
Эта служба?

Отправлено: 12:58, 08-08-2018 | #24


Ветеран


Сообщения: 1308
Благодарности: 250

Профиль | Отправить PM | Цитировать


Цитата ES:
Под сервером здесь что имеется ввиду?
Эта служба? »
Да.

-------
ПМ стираю не читая. Не пишите мне.


Отправлено: 13:09, 08-08-2018 | #25

ES ES сейчас на форуме Автор темы

Ветеран


Сообщения: 716
Благодарности: 10

Профиль | Отправить PM | Цитировать


Мне еще не совсем понятен механизм обмена с помощью этих сертификатов.

Используя сертификат, браузер отправляет зашифрованные сообщения службе.
Служба читает эти сообщения, расшифровывая их при помощи закрытого ключа, который соответствует сертификату.
А где служба хранит этот закрытый ключ? И откуда он берется этот закрытый ключ?

Отправлено: 14:38, 08-08-2018 | #26


Ветеран


Сообщения: 1308
Благодарности: 250

Профиль | Отправить PM | Цитировать


Цитата ES:
Используя сертификат, браузер отправляет зашифрованные сообщения службе.
Служба читает эти сообщения, расшифровывая их при помощи закрытого ключа, который соответствует сертификату. »
Там всё гораздо сложнее, но принцип верно уловлен.
Цитата ES:
А где служба хранит этот закрытый ключ? »
В месте, для неё доступном. Вы же сами упоминали выше, что есть два файла – user.crt и user.key. Первый сертификат, второй – его ключ. Может они интегрируются в какое-то своё хранилище службы – мне неизвестно. Например, у java свой keyring.
Цитата ES:
И откуда он берется этот закрытый ключ? »
Его генерируешь ты, при помощи утилиты, посредством сложного алгоритма на базе генератора псевдослучайных чисел. Обычно используется неоднократно упомянутая утилита openssl. Вы ту микростатью на хабре прочитали, что я давал?
Первый шаг - генерируешь ключ.
Второй, если создаёшь корневой сертификат – создаёшь его при помощи только что сгенерированного ключа. На этом всё для этой пары.
Если сертификат не корневой, то создаёшь запрос на подпись при помощи своего ключа и передаёшь его (запрос, Certificate Signing Request, CSR) в центр сертификации. Там его подписывают и выдают тебе готовый сертификат. Само собой, в случае самоподписного сертификата, в роли центра сертификации высутпаешь ты сам со своим корневым сертификатом.

-------
ПМ стираю не читая. Не пишите мне.

Это сообщение посчитали полезным следующие участники:

Отправлено: 15:32, 08-08-2018 | #27



Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » http/web - Создать свой сертификат для localhost

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Разное - Не создать самоподписанный сертификат и закрытый ключ win7x64 sp1 bmer87@vk Microsoft Windows 7 0 15-02-2018 13:30
Пытаюсь создать свой блог, как добавить свой фон? HappyPlayer1997 Вебмастеру 4 22-04-2015 18:54
Как создать свой dashboard для huawei e1550? hxygen Поиск драйверов, прошивок и руководств 0 27-01-2011 16:19
2010 - [решено] При создании сертификата произошла ошибка. Selfcert не удалось создать ваш сертификат okshef Microsoft Office (Word, Excel, Outlook и т.д.) 3 11-11-2010 00:28
Как создать сертификат? password Вебмастеру 2 15-01-2003 11:37




 
Переход