Kerio

ANDiv1976 · Отправлено: **19:59, 31-05-2019** | #21

Дык... поработало 1-2 часа и опять перестало.
хостер втирает мне что проблема на моей стороне. я им пытаюсь доказать что стопорится на корневом сертификате.
в общем зря купили этот дешевый сертификат.
не советую ни кому пользоваться в будущем этой шарагой, как хостер timeweb.ru и те сертификаты, которые они перепродают х... пойми от кого

Jula0071 · Отправлено: **20:02, 31-05-2019** | #22

Причём тут шарага-то? За пару часов ни сертификат, ни цепочка не могли протухнуть.

ANDiv1976 · Отправлено: **20:09, 31-05-2019** | #23

Цитата Jula0071:

openssl x509 -in 1.crt -noout -text »

Код:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            30:8a:1d:eb:ea:fc:53:1f:5c:62:9a:fd:bd:0c:cb:39
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Domain Validation Secure Server CA
        Validity
            Not Before: May 17 00:00:00 2019 GMT
            Not After : May 16 23:59:59 2020 GMT
        Subject: OU = Domain Control Validated, OU = PositiveSSL Wildcard, CN = *.<site>.ru
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
                Modulus:
                    00:b8:ca:9e:d1:f1:07:f3:94:4f:8f:6e:a5:f9:c4:
                    cd:44:80:5d:72:41:33:9e:67:1b:a8:af:3e:b3:8e:
                    9c:18:09:b4:b2:4e:da:45:76:02:f4:5f:b3:68:5e:
                    a2:ab:c0:b3:d3:7f:6e:54:b5:35:d6:2d:af:0b:6c:
                    71:27:e0:66:81:da:81:db:25:7f:1c:29:8a:13:1f:
                    2e:cf:cd:07:7e:73:1c:c0:31:94:1a:5b:b6:c1:6b:
                    90:68:3b:fd:bd:6f:79:3a:e5:94:55:76:b8:8d:af:
                    b2:37:17:53:34:04:77:20:13:05:0e:d6:ef:95:7c:
                    c5:92:c6:42:e3:5e:68:4b:4e:6a:a0:00:4c:f4:48:
                    13:67:18:20:9f:95:ff:44:95:ca:b6:60:98:61:9d:
                    27:8b:d5:18:5c:d4:24:22:3d:5a:18:1c:69:04:84:
                    5a:75:d2:17:19:aa:ec:45:bb:59:6a:61:af:c6:aa:
                    12:06:b1:3f:97:85:87:2b:18:fb:b3:2f:33:b6:75:
                    df:30:72:bd:87:74:c3:3a:9a:8a:ca:89:40:bd:a7:
                    e7:fb:3a:dd:aa:c2:7e:c6:e4:ac:89:68:03:8b:a8:
                    bf:78:b9:a0:ca:cf:b5:99:ea:b8:ad:20:a2:f6:38:
                    84:ae:3f:b8:dc:01:b6:a1:fa:f9:3b:c4:4b:dc:51:
                    a4:7b
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Authority Key Identifier: 
                keyid:8D:8C:5E:C4:54:AD:8A:E1:77:E9:9B:F9:9B:05:E1:B8:01:8D:61:E1

            X509v3 Subject Key Identifier: 
                E7:D7:A1:06:43:B8:EF:AB:44:49:16:05:99:03:6C:45:C0:3F:D0:3B
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 Certificate Policies: 
                Policy: 1.3.6.1.4.1.6449.1.2.2.7
                  CPS: https://sectigo.com/CPS
                Policy: 2.23.140.1.2.1

            Authority Information Access: 
                CA Issuers - URI:http://crt.sectigo.com/SectigoRSADomainValidationSecureServerCA.crt
                OCSP - URI:http://ocsp.sectigo.com

            X509v3 Subject Alternative Name: 
                DNS:*.<site>.ru, DNS:<site>.ru
            CT Precertificate SCTs: 
                Signed Certificate Timestamp:
                    Version   : v1 (0x0)
                    Log ID    : BB:D9:DF:BC:1F:8A:71:B5:93:94:23:97:AA:92:7B:47:
                                38:57:95:0A:AB:52:E8:1A:90:96:64:36:8E:1E:D1:85
                    Timestamp : May 17 13:21:56.384 2019 GMT
                    Extensions: none
                    Signature : ecdsa-with-SHA256
                                30:45:02:21:00:AF:51:77:F0:9C:CC:A9:94:2A:17:CB:
                                FE:50:AB:00:10:65:6E:0B:06:FE:20:FB:D7:78:F3:24:
                                5B:13:D6:ED:38:02:20:07:AF:C7:DD:E7:F9:3C:68:9C:
                                1F:C8:8A:86:BF:76:9C:3B:E1:42:DF:CB:37:D2:FB:0A:
                                16:A7:52:C6:47:66:4D
                Signed Certificate Timestamp:
                    Version   : v1 (0x0)
                    Log ID    : 5E:A7:73:F9:DF:56:C0:E7:B5:36:48:7D:D0:49:E0:32:
                                7A:91:9A:0C:84:A1:12:12:84:18:75:96:81:71:45:58
                    Timestamp : May 17 13:21:56.417 2019 GMT
                    Extensions: none
                    Signature : ecdsa-with-SHA256
                                30:46:02:21:00:EF:0A:9F:BC:9D:80:87:3C:09:CC:1E:
                                D4:16:37:4A:BE:54:CF:74:4F:8B:66:7A:BB:DB:E6:09:
                                FA:0D:77:BD:F9:02:21:00:CA:AB:F3:F1:D6:85:58:88:
                                DA:3B:EA:AB:71:C4:A9:DD:FA:05:C8:0E:DF:AD:7A:CD:
                                70:CD:7D:AB:81:1D:78:01
    Signature Algorithm: sha256WithRSAEncryption
         21:fa:f1:fb:cb:b4:dd:0c:06:0e:1c:e3:8f:69:ee:37:cf:72:
         59:d2:37:9f:3d:be:34:15:b7:61:67:bc:a8:94:79:a4:04:8c:
         4d:38:8c:5d:68:5d:c9:ea:ed:7f:8c:d2:5f:f4:21:1c:60:27:
         95:6c:fe:75:97:ce:49:de:7d:0e:a9:83:96:51:87:e3:45:e4:
         c3:b3:45:d5:27:27:fb:db:65:09:00:68:bc:ef:a9:3c:83:df:
         34:3e:ed:02:0e:d7:28:5b:81:ad:cd:0b:ac:2f:d6:31:98:24:
         e6:02:0b:a9:8e:bd:36:e9:e6:2b:b7:84:11:b1:a2:27:53:5b:
         07:0b:66:96:97:6a:d9:da:bc:d6:af:3d:b0:3c:55:1f:ec:ab:
         de:c0:f2:92:dc:27:d2:54:f7:47:75:ec:b2:ab:5b:58:cd:13:
         25:4a:5a:5e:1b:aa:14:1e:f9:e9:f7:4a:ad:5b:32:43:d4:f2:
         9a:f6:2e:e6:97:59:89:fc:3b:19:45:c2:e8:5d:f6:6b:7c:03:
         2a:db:50:6a:bc:56:89:16:77:4d:c4:d0:0c:4c:23:1f:b2:5e:
         26:d4:4f:0b:c5:54:23:87:ad:78:02:5a:9b:25:4b:52:7f:b8:
         bb:6a:09:01:af:15:5b:b0:cb:9b:e0:8e:23:47:3f:d5:1d:9b:
         15:f3:f1:d9

Цитата Jula0071:

Причём тут шарага-то? За пару часов ни сертификат, ни цепочка не могли протухнуть. »

Да, вот хз.... не верю я им уже! Особенно то, что неделя была сначала потрачено на выяснение первой проблемы.
а, она была по их вине - был выслан не корректный сертификат.
сегодня повторно выслали, а он уже отличался на 32байта по размеру.
и сразу подошел. все заработало
через 1-2 часа все опять отвалилось и CA уже не определяется через сертификат. выпадает
вообще бред

Jula0071 · Отправлено: **20:24, 31-05-2019** | #24

Да вроде всё норм.

Цитата ANDiv1976:

Да, вот хз.... не верю я им уже! »

Э... Вы ж всё по протоколу делали - создали приватный ключ (который никому не должен быть виден, кроме вашего сервера), сгенерировали CSR, его отдали CA, те на его основе сгенерили сертификат и вернули вам с цепочкой?

ANDiv1976 · Отправлено: **05:56, 01-06-2019** | #25

Цитата Jula0071:

Э... Вы ж всё по протоколу делали - создали приватный ключ (который никому не должен быть виден, кроме вашего сервера), сгенерировали CSR, его отдали CA, те на его основе сгенерили сертификат и вернули вам с цепочкой? »

Если бы все было так ))) Сертификат покупался через timeweb. Оплата тоже через них.
В итоге пришло 4-е письма, два от timeweb и два от sertigo
От таймвеба в одном письме было напоминание как заходить к ним на вебморду и все такое. Во втором письме по какой ссылке необходимо заходить для управления сертификатом. http://timeweb.myorderbox.com
От Сертиго в первом письме была ссылка для окончания регистрации трансфера и сертификата с кодом валидации. И после пришло письмо от сертиго с 5-я файлами - промежуточные сертификаты, мой сертификат и файл ключа. Таймвебу был отпарвлен архивник с 4-я сертификатами. Ключ я оставил себе )))
При чем уже тогда был не верный сертификат длиной 2130байта. Вчера высылали который мне повторно таймвеб уже 2162 байта. Который пару часов поработал и перестал.
Ну вот и вся история заказа сертификата.

ANDiv1976 · Отправлено: **10:11, 01-06-2019** | #26

В общем заработало. Попробовал отойти от канонов документаций )))
сделал следующую цепочку сертификата
"наш сайт.crt->SectigoRSADomainValidationSecureServerCA.crt->USERTrustRSAAddTrustCA.crt->AddTrustExternalCARoot.crt->AddTrustExternalCARoot.crt"
Т.е., не из 4-х сертификатов, а 5-ти )))
Но это же полный бред
но он работает

Jula0071 · Отправлено: **11:28, 01-06-2019** | #27

Цитата ANDiv1976:

И после пришло письмо от сертиго с 5-я файлами - промежуточные сертификаты, мой сертификат и файл ключа. »

Фигня какая-то. Это грубейшее нарушение протокола сертификации - что ключ генерируется кем-то там. Он изначально скомпрометирован. За такие штуки в своё время у симантека сертификат отозвали (и все подписанные им сертификаты в одночасье превратились в тыкву).

ANDiv1976 · Отправлено: **13:18, 01-06-2019** | #28

Цитата Jula0071:

Фигня какая-то. Это грубейшее нарушение протокола сертификации - что ключ генерируется кем-то там. Он изначально скомпрометирован. За такие штуки в своё время у симантека сертификат отозвали (и все подписанные им сертификаты в одночасье превратились в тыкву). »

Да, мне самому timeweb не нравится. ибо в самом начале читал процедуру установки стороннего сертификата на свой сайт у них.
почему то там написано, что я должен передать им сертификат и ключ.

Цитата:

Для установки SSL-сертификата, приобретённого у другого поставщика, необходимо:

заказать дополнительный IP-адрес (зачем нужен дополнительный IP);
привязать новый адрес к домену (см. Настройка доп. IP после заказа);
если домен делегирован на сторонние NS-серверы – на стороне держателя NS-серверов указать в качестве A-записи домена новый IP-адрес;
направить с помощью данной формы запрос на установку сертификата, приложив файлы: сертификат, ключ от сертификата без пароля и цепочку корневых сертификатов Центра сертификации, выпустившего SSL-сертификат (не требуется для самоподписанных сертификатов).

Установка SSL-сертификата будет выполнена нашими специалистами в течение 1-2 часов.

На счет сектиго - первый и последний раз с ними связываюсь. лучше в следующем году у посерьезнее конторы сертификат куплю.
и сразу на пару лет
А, так это у меня первый опыт в этом деле )))

Jula0071 · Отправлено: **14:28, 01-06-2019** | #29

Цитата ANDiv1976:

Да, мне самому timeweb не нравится. »

Это шаред хостинг какой-то? Ну то да, ключик тогда надо им отдавать. Хотя те что поприличнее, перешли на Let's Encrypt и делают всё автоматически и бесплатно. Да и вообще шаред хостинг это прошлый век, сейчас время облачных контейнеров/вм.

ANDiv1976 · Отправлено: **06:34, 02-06-2019** | #30

Цитата Jula0071:

Это шаред хостинг какой-то? Ну то да, ключик тогда надо им отдавать. Хотя те что поприличнее, перешли на Let's Encrypt и делают всё автоматически и бесплатно. Да и вообще шаред хостинг это прошлый век, сейчас время облачных контейнеров/вм. »

К сожалению хостера выбираю не я. А, компания которая сайт нам делала и поддерживает его, и отдел маркетинга.
Да и лезть в это их болото не хочеться. потом меня же и заставят все это поддерживать.
ну его нафиг......