Posted By: Xen () on 'CZunix'
Title:     Re: Problem s certifikatem
Date:      Tue Nov 20 09:10:42 2007

Ahoj,

> upgradnul jsem na severu apache z 1.3 na 2.2
> Ac jsem provadel nejake upravy konfigurace, tak rozhodne jsem negeneroval
> novy 
> certifikat, ten na 100% zustal stejny.
> Co mne ale zarazi je, ze mi doma (FF), v praci (FF) a i koleguv Galeon
> najednou vsechny prohlizece hlasi ze nemohou overit duveryhodnost 
> certifikatu, pricemz CA jenz to podepsala je ve vsech tech brouserech 
> naimportovana (a do upgrade samo problem nebyl)
> 
> CA znovu naimportovat nejde - tvrdi ze uz ji ma.

> [...]

Kolik kroku je mezi importovanym korenem a samotnym certifikatem? Pokud je tam 
vic nez CA a serverovy certifikat tak je nutne aby apache posilal vsechny 
mezi temito nody. Je to bug v implementaci ve vsech prohlizecich zalozenych 
na Mozille.

Neni mi znamo ze by se v tomhle chovani neco zmenilo u Mozilly. Ale upgrade 
apache byva utrpeni a mozna ti nejaka ta direktiva vypadala. 

Zacni zkoumat pomoci `openssl s_client -connect <hostname>:443` a podstatne je 
Certificate chain. U SureServerEDU ktere podepisuje CyberTrust to ma vypadat 
takto:

 0 s:/C=CZ/O=CESNET/CN=caas.cesnet.cz
   i:/C=BE/O=Cybertrust/OU=Educational CA/CN=Cybertrust Educational CA
 1 s:/C=BE/O=Cybertrust/OU=Educational CA/CN=Cybertrust Educational CA
   i:/C=US/O=GTE Corporation/OU=GTE CyberTrust Solutions, Inc./CN=GTE 
CyberTrust Global Root

Kdyz tam ta EDU CA neni tak to vypada takto:

 0 s:/C=CZ/O=CESNET/CN=caas.cesnet.cz
   i:/C=BE/O=Cybertrust/OU=Educational CA/CN=Cybertrust Educational CA

a Mozilli klienti si stezuji. 

Semik

> Pavel