Posted By: Xen () on 'CZunix' Title: Re: Problem s certifikatem Date: Tue Nov 20 09:10:42 2007 Ahoj, > upgradnul jsem na severu apache z 1.3 na 2.2 > Ac jsem provadel nejake upravy konfigurace, tak rozhodne jsem negeneroval > novy > certifikat, ten na 100% zustal stejny. > Co mne ale zarazi je, ze mi doma (FF), v praci (FF) a i koleguv Galeon > najednou vsechny prohlizece hlasi ze nemohou overit duveryhodnost > certifikatu, pricemz CA jenz to podepsala je ve vsech tech brouserech > naimportovana (a do upgrade samo problem nebyl) > > CA znovu naimportovat nejde - tvrdi ze uz ji ma. > [...] Kolik kroku je mezi importovanym korenem a samotnym certifikatem? Pokud je tam vic nez CA a serverovy certifikat tak je nutne aby apache posilal vsechny mezi temito nody. Je to bug v implementaci ve vsech prohlizecich zalozenych na Mozille. Neni mi znamo ze by se v tomhle chovani neco zmenilo u Mozilly. Ale upgrade apache byva utrpeni a mozna ti nejaka ta direktiva vypadala. Zacni zkoumat pomoci `openssl s_client -connect <hostname>:443` a podstatne je Certificate chain. U SureServerEDU ktere podepisuje CyberTrust to ma vypadat takto: 0 s:/C=CZ/O=CESNET/CN=caas.cesnet.cz i:/C=BE/O=Cybertrust/OU=Educational CA/CN=Cybertrust Educational CA 1 s:/C=BE/O=Cybertrust/OU=Educational CA/CN=Cybertrust Educational CA i:/C=US/O=GTE Corporation/OU=GTE CyberTrust Solutions, Inc./CN=GTE CyberTrust Global Root Kdyz tam ta EDU CA neni tak to vypada takto: 0 s:/C=CZ/O=CESNET/CN=caas.cesnet.cz i:/C=BE/O=Cybertrust/OU=Educational CA/CN=Cybertrust Educational CA a Mozilli klienti si stezuji. Semik > Pavel