Vlastní SSL certifikáty
Ahoj, můžu si ještě v dnešní době vygenerovat vlastní certifikát pro https aby přes něj prohlížeč načetl stránku?
V /etc/hosts jsem nasměroval
192.168.0.111 smyslena-done.czvygeneroval certifikáty crt a key ale prohlížeč odmítá stránku načíst
Vaše připojení není privátní
Útočníci se možná pokoušejí ukrást vaše informace z test.dev (například hesla, zprávy nebo platební karty).
NET::ERR_CERT_INVALIDV error logu není žádná chyba, port 443 je otevřený, nginx -t nehlásí žádnou chybu. Poradí někdo? Díky
vidím že ti nesedí doména
a hostname/site, který ti servíruje data:
Nesedí co? Zápis v hosts a doména v chybové hlášce v prohlížeči? Toto mu ve skutečnosti sedí, protože pokud by to ve skutečnosti nesedělo, co má uvedeno v prohlížeči a to co má uvedeno v hosts, tak by se to nedostalo ani k pokusu o načítání certifikátu, prostě by se prohlížeč k tomu serveru vůbec nedostal a chybovou hlášku by mu to psalo tuto:
Jen to prostě má v dotazu uvedeno nevhodně různě, ale doma tady to co se týče hosts a co se snaží zobrazit v prohlížeči má podle mě nastaveno správně.
V čem má pravděpodobně problém jsem tu už v příspěvcích popsal.
A nejvhodnější by asi bylo aby někam uploadnul ty soubory certifikátu přes které se to snaží šifrovat. Případně napsal OS, je asi rozdíl, když se to snaží zobrazit ve Windows a macOS. A taky by případně asi mohl pak sdělit nastavení serveru, kdyby se pak zjistilo, že problém nebyl v certifikátu a OS.
nesedí certifikát na site name, celkem logicky, ne?
Máš tyto komponenty:
1. resolver
2. certifkát (konfigurace apache/nginx)
3. site name (konfigurace apache/nginx)
a všechny musí sedět. Když nesedí, tak SSL bude kvičet.
Nechápu tě.
1)
V hosts má nastavenu doménu test.dev správně a připojuje se ve webovém prohlížeči na test.dev
Jen tady na poradně má v příspěvku smyslena-done.cz, což je úplně irelevantní.
Proč tomu tak je jsem ti už dostatečně vysvetlil, co na tom nechápeš???
Tak nechápu proč tady to řešíš.
2)
On ale řeší aby se mu webová stránka v pohlížeči načetla, neřeší to jestli neco bude kvičet nebo nebude. Tedy minimálně aby vyhazoval prohlížeč chybu NET::ERR_CERT_AUTHORITY_INVALID (to by se mu načetla), mu ale vyhazuje prohlížeč chybovou hlášku NET::ERR_CERT_INVALID a při té se mu to, jestli píše pravdu, nenačte, stejně jako se to nenačetlo s touto chybou tomu jedinci z odkazu, který jsem uvedl (v tom případě byl důvod omezení v kombinaci chrome + macOS ... v tom případě je potřeba dodržet určité požadavky na certifikát).
Jenže třeba ve Windows takové požadavky nejsou, ve Windows můžeš použít klidně certifikát s nesprávnou doménou nebo bez nastavené domény v certifikátu a v prohlížeči ti normálně šifrované spojení bude fungovat, jen dáš prostě při první použití certifikátu v prohlížeči pokračovat = tazatel tam to pokračovat vůbec nemá, jinak by to neřešil a nepsal to co psal. Vyzkoušej si to, já to zkoušel.
Nebo to ti snad mám udělat i screeny abys to pochopil? Klidně udělám.
3)
Jestli tím "vidím že ti nesedí doména" a "nesedí certifikát na site name" myslíš že v certifikátu je jiná doména než ta, na kterou přistupuje, tak můžu vědět podle čeho tak usuzuješ??? Doménu v certifikátu nejspíš musí řešit jen v případě, že má třeba ten macOS... a je možné, že tam tu doménu správně v certifikátu nemá, ale z toho, co tu psal, to není jasné. A ty požadavky v případě macOS nejsou jen ta doména, ale i doba vypršení certifikátu, extendedKeyUsage atd.... ale to by pak řešil kvůli macOS a jeho požadavkům (a pravidlům pro možnost pokračování v načtení stránky), ne kvůli tomu že něco kvičí. To, že něco kvičí, vůbec pro načtení šifrovaného připojení nevadí, vadí to jen pokud zrovna není ta možnost pokračovat, schlálně se podívej na ty dva linky, co jsem uvedl (github).
Příklad:
Windows a certifikát bez domény nebo s jinou doménou: prohlížeč kvičí (NET::ERR_CERT_AUTHORITY_INVALID), ale po pokračování šifrované spojení dunguje.
Windows a certifikát se správnou doménou: úplně to samé co předchozí.
macOS a splněné minimální požadavky na certifikát v macOS: podle dostupných info taky to samé co předchozí dva případy.
macOS a nesplněné minimální požadavky na certifikát v macOS: podle dostupných info to kvičí s chybou NET::ERR_CERT_INVALID a pak nejde pokračovat.
A ty minimální požadavky jsou třeba ta doména, doba expirace, extendedKeyUsage...
Jasně, doména...
Jenže ty tu kvičíš protože vidíš smyslena-done.cz (hosts) a test.dev (snaží se připojit v prohlížeči) v jeho příspěvku, jenže vůbec nezáleží na tom, co má v příspěvku, ve skutečnosti má v hosts a v prohlížeči to samé. Když už tak záleží na tom, co má v certifikátu a v prohlížeči, jenže to nevíš co tam má. A že doménu v certifikátu tam potřebuje třeba na macOS (pokud to řeší na macOS) v rámci těch minimálních požadavků jsem mu už psal (to je to SAN = Subject Alternate Name). Ve Windows to řešit nemusí, protože prohlížeč ve Windows není tak přísný.
Netuším jak jinak ti to vysvětlit
Ano, nechápeš.
Já odpovídám na to, co tu je uvedeno, ne na to, co si ty myslíš jak je. Tazatel se odmlčel, tudíž si to buď vyřešil, nebo ztratil zájem. Pokud SSL hlásí jakýkoli problém, je něco špatně a je úplně jedno, jestli se dá či nedá pokračovat, protože pak to SSL tam nemusí být vůbec, pro účely ladění zase je možné kontrolu SSL v chromu (pokud to vůbec byl chorme) vypnout zcela.
Ano, nechápu tě.
"Já odpovídám na to, co tu je uvedeno" = nesmysl!
Jsi úplně mimo.
Tazatel řeší:
"Vlastní SSL certifikáty ... můžu si ještě v dnešní době vygenerovat vlastní certifikát pro https aby přes něj prohlížeč načetl stránku?"
A ty tu řešíš úplně nesmyslně:
1) smyslena-done.cz (hosts) <> test.dev (prohlížeč) v úvodním příspěvku
2) (ne)kvičení ohledně certifikátu
3) (ne)potřebnost https pokud prohlížeč hlásí s certifikátem problém
Bylo by vhodné, kdyby sis našel ženskou, řekl bych, že ti tak trochu haraší na věži.
Mám ženskou 😎💖
Tak že pozdravuju! Musí to být světice!![]:)](https://static.poradna.net/images/smiley/evilsmile.gif)