synology.forum архив спільноти · 2005–2022
ai.synology.forum →
ГлавнаяУстановка, Загрузка и Настройка › Сертификат SSL подписанный доменным центром сертификации

Сертификат SSL подписанный доменным центром сертификации

GiGa · 14.03.2013

Здравствуйте, подскажите в чем загвоздка.

 

Запрашиваю сертификат Web Server в Active Directory CS с экспортируемым ключем и следующими данными:

E = [email protected]
CN = Box Synology Company Ltd.
OU = Certificate Authority
O = Company Ltd.
L = Belarus
S = Minsk
C = BY

Получаю certificate.pfx

Далее преобразую сертификат, следующим образом:

 

openssl pkcs12 -in certificate.pfx -nocerts -out certificate.pem
openssl pkcs12 -in certificate.pfx -clcerts -nokeys -out certificate.pem
openssl rsa -in certificate.pem -out certificate.key

Получаю соответственно два файла: certificate.pem, certificate.key.

 

Указываю их в DSM, получаю следующее сообщение:

 

http://www.picshare.ru/uploads/130314/r7LwifckV5.jpg

 

Так же пробовал такой сертификат:

openssl pkcs12 -in certificate.pfx -clcerts -nokeys -out certificate.crt

Ситуация повторяется.

saper · 25.07.2013

я как то этим обошелся http://alt-sert.com/poleznaya-informatsiya/nomenklatura. Остальное сам подобрал ;)

polanat · 08.11.2014

На тему состояния самозаверяющегося сертификата Synology (PKCS #1 SHA-1 With RSA Encryption) Synology добавила предупреждение:

 

Большинство браузеров не будет принимать сертификаты SSL на основе SHA-1 к 2017 г. См. http://en.wikipedia.org/wiki/SHA-1

 

In November 2013 Microsoft announced their deprecation policy on SHA-1 according to which Windows will stop accepting SHA-1 certificates in SSL by 2017. In September 2014 Google announced their deprecation policy on SHA-1 according to which Chrome will stop accepting SHA-1 certificates in SSL in a phased way by 2017. Mozilla is also planning to stop accepting SHA-1-based SSL certificates by 2017.

polanat · 14.12.2014

Для тех, кто не в курсе - самозаверяющейся сертификат Synology был обновлён и начал действовать с 10.12.2014 (PKCS #1 SHA-256 With RSA Encryption)

SergeS · 14.12.2014
Для тех, кто не в курсе - самозаверяющейся сертификат Synology был обновлён и начал действовать с 10.12.2014 (PKCS #1 SHA-256 With RSA Encryption)

 

Я в сертификатах как то не силен, что это значит для конечного пользователя?

 

И еще вопрос - у меня создан сертификат от синолоджи, по https все вроде работает, но естественно ругается на невозможность подтвердить мою айдентити, так как этот сертификат я нигде не заверял. Про то, что можно сказать конкретному браузеру игнорировать это дело - я в курсе, но хотелось бы решить эту проблему правильно, а не только для моего конкретного броузера на моем конкретном компе...

Есть какието сервисы, где это можно сделать на шару или не дорого, учитывая, что никаких коммерческих нагрузок на моем насе нет и вряд ли когда будут?

polanat · 14.12.2014

Все просто. С SHA-1 сертификат съехал и стал SHA-2, а точнее SHA-256...

SergeS · 14.12.2014
Все просто. С SHA-1 сертификат съехал и стал SHA-2, а точнее SHA-256...

 

Ну, это я понял. Как это влияет конкретно на например меня?

polanat · 14.12.2014
Ну, это я понял. Как это влияет конкретно на например меня?

Пока никак - до 2017 года ещё далеко ...

DMagister · 14.12.2014
Есть какието сервисы, где это можно сделать на шару или не дорого, учитывая, что никаких коммерческих нагрузок на моем насе нет и вряд ли когда будут?

www.startssl.com

SergeS · 16.12.2014
www.startssl.com

 

Что-то я не понял, как с этим всем добром взлететь...

К тому же, насколько я понял, они не дают сертификаты для доменных имен от noip.com.

 

Оно мне сделало S/MIME and authentication certificate, встроило его мне в браузер и радостно сообщило, что:

S/MIME client certificates are used for client authentication to web sites (such as this one) and for the signing, encryption and decryption of personal data. Most commonly they are used for email signing and encryption, but also PDF and office documents. Higher validated certificates can be used to sign contracts in digital format.

 

Это коенчно хорошо, только это не совсем то, что мне надо было бы...

 

При попытке сгенерировать SSL/TLS web server certificate оно мне намекнуло, что сначала надо сделать Domain Name Validation, а при попытке сделать этот валидэйшн оказалось что моих доменов от noip.com у них в списке нет, мало того - в инструкции так прямо черным по английски и написано:

You must be the owner of the top-level domain, sub domains are not supported.

 

Я правильно понял, что все?

DMagister · 16.12.2014
Я правильно понял, что все?

видимо да. я совершенно не слежу за всякими совершенно бесплатными сервисами, поскольку халява бесконечной не бывает, а мне нужно чтобы работало. с нормальным доменом все работает без проблем, на прошлой неделе как раз ключ обновлял на следующий год.

SergeS · 16.12.2014
видимо да. я совершенно не слежу за всякими совершенно бесплатными сервисами, поскольку халява бесконечной не бывает, а мне нужно чтобы работало. с нормальным доменом все работает без проблем, на прошлой неделе как раз ключ обновлял на следующий год.

 

:-(

Понял, спасибо.