Hallo !

Ich versuche apache mit ssl zum laufen zu bekommen (auf meinem Rechner zu Hause).

https läuft auch. Mein Problem ist, jedesmal, wenn ich die Seite aufrufe, bekomme ich eine "Security Alert" Box angezeigt.

Auf die Dauer ist es ziemlich nervig.

Wie mache ich, daß er diese Abfrage nicht jedesmal fragt ? (Es muss irgendwie gehen, da es https Seiten im Internet gibt, wo diese Abfrage nicht vorkommt)

Ich benutze SuSE 7.2 mit apache und ssl als Modul. Das Zertifikat habe ich selbst erstellt.

Wenn ihr weitere Infos zum Zertifikat braucht, schreibt mir, was ihr braucht.

Danke schon mal.

stell ein neues cert mit einem cn der deinem hostnamen entspricht

dann restarte den apachen, und wenn das fenster da kommt, dann speicher das zertifikat permanent und er motzt nicht mehr ..
und wenn ie zu dumm dafür ist, dann installier dir nen ordentlichen browser ... www.mozilla.org

Hab ich !

Ich hatte es eben über den internen Namen aufgerufen.

Als Anhang nun die echte, wenn man es über den Internetnamen aufruft.

Mit Zertifikat installieren habe ich es auch schon versucht - keine Änderung.

Ich glaube nicht, daß es wirklich an dem Browser liegt, da ich ja andere https seiten aufrufen kann, ohne dass die Meldung kommt - also denke ich es ist eine Einstellung in Apache.

Mit Netscape das gleiche Problem !

okay.. in dem 2ten screenshot .. haste im rechten fenster unten den button install certificate ..
hau da drauf und er nervt nimmer ...
bei netscape gibts so was ähnliches .. frag aber ned wie das heisst

btw .. im ersten screenshot musste den host irgenwie anders angegeben haben, weil er da auch gemotzt hat, das der cert-cn nicht zum aufgerufenen host past (das untere von den beiden ausrufezeichen im screenshot)

Original geschrieben von real-challo

Mit Zertifikat installieren habe ich es auch schon versucht - keine Änderung.



Hab ich doch schon !

ooh sorry, mein fehler.. du musst das cert vom aussteller installen :-/
das liegt 'irgendwo' in dem openssl verzeichniss ... :-/
würde ich aber in dem fall nicht machen, weil jeder webserver mit dem dummy cert von snakeoil kommt und man dir dann certs unterjubeln kann :-(
erstell ne eigene ca und erstell das cert nochmal neu .. und dann install dein eigenes ca cert im browser

mit dem Perlscript CA.pl geht das ja in 2 min ;-)

bye

Also, ich hab mich vor kurzem mit dem gleichen Problem rumgeschlagen.

Und ich hab jetzt da CAcert einfach komplett weggelassen. Also ich hab nur ein Zertifikat und den Private Key.

Und dann hab ich im IE einfach das Ding installiert, und seit dem hab ich Ruh.

Ob das jetzt allerdings ne saubere Lösung is, weiss ich nich, weil ich bei dem ganzen ssl zeug noch net so ganz durchsteig.

Das Zertifikat steht dann unter vertrauenswürdige Stammzertifizierungsstellen. Allerdings frag ich mich, wo der die infos wie Aussteller etc. her hat, weil die stehen weder im Zertifikat, noch im Key.:confused:

Achso, im ssl log, steht auch noch folgende Meldung: RSA Server certificate is a CA certificate (BasicConstrains: CA == TRUE !?)

Greetz,

Alex.

@sensman :
Meinst Du das ? - Wenn ja, ist der bei mir schon auskommentiert

# Server Certificate Chain:
# Point SSLCertificateChainFile at a file containing the
# concatenation of PEM encoded CA certificates which form the
# certificate chain for the server certificate. Alternatively
# the referenced file can be the same as SSLCertificateFile
# when the CA certificates are directly appended to the server
# certificate for convinience.
#SSLCertificateChainFile /etc/httpd/ssl.crt/ca.crt


@Bauchi
CA.pl - was ist das, was macht es, wo bekomme ich es ?



Wie würde es denn aussehen, wenn ich z.B. eine eigene Zertifizierungsserver aufsetze - damit kann man doch - soweit ich weiss - auch Zertifikate "beglaubigen" lassen (oder wie man das nennen mag)

Jemand damit Erfahrung ?

find / -name "CA.pl"

liegt im OpenSSL Directory unter 'misc' :-)


mit dem script erzeuchst du eine CA .. erstellst certificate requests .. signest certicactes ... etc...
das ist im endeffekt dein zertifizierungsserver...
als hilfe kann ich nur auf die rfc's bezüglich x509 verweisen ...