Gratis trust voor certificates ?

woensdag 26 september 2001 00:29

Koffiebierbrouwer

Braaimeneer

Topicstarter

Hmz...
Na lang zoeken (denk ik er) eentje gevonden.
Het eerste jaar is iig gratis, daarna moet je volgens hun 'een kleine bijdrage' betalen.
Wat die bijdrage is weet ik nog niet.

Ze geven aan op dit moment 70% compatible te zijn.
Ik krijg iig geen errors als ik hun pagina via HTTPS benader, dus via IE5 word de authority iig erkend.

De toko waar ik het over heb is FreeSSL , had ik misschien zelf ook nog wel kunnen bedenken

Tijd voor een nieuwe sig..

Acties:

Verwijderd

Toch vind ik dit maar erg bagger:

With FreeSSL, you will receive a free 128-bit capable USERTrust SSL certificate that is compatible with 70%* of the current Web browsers (Internet Explorer 5.01 and higher). You are not obligated to purchase anything to obtain a FreeSSL Web server certificate which is good for one year. And, if you wish to renew your FreeSSL Web server certificate next year, a minimal fee will be charged.

Alles wat niet IE is krijgt dus gewoon weer zo'n ding op het scherm dat er iets met het certificaat niet klopt...

woensdag 26 september 2001 08:20

Acties:

woensdag 26 september 2001 13:53

Software Architect

Werkt hier

Op woensdag 26 september 2001 00:29 schreef griebels het volgende:
Alles wat niet IE is krijgt dus gewoon weer zo'n ding op het scherm dat er iets met het certificaat niet klopt...

Ach, bij Mozilla kan je expliciet aangeven een certificaat wel 'gewoon toe te staan'.

Bij IE kan dat niet eens. Daarnaast vind ik de 'after 1 year you'll have to pay a reasonable fee' veel erger dan dat het niet op alle browsers werkt.

Acties:

woensdag 26 september 2001 18:36

Op woensdag 26 september 2001 08:20 schreef ACM het volgende:
Bij IE kan dat niet eens.

Nee?

Afbeeldingslocatie: http://onno.dhs.org/~onno/iecert.jpg

Acties:

woensdag 26 september 2001 19:48

Software Architect

Werkt hier

Op woensdag 26 september 2001 13:53 schreef Onno het volgende:
Nee?

Dat heeft bij mij nooit gewerkt (die ene keer dat ik het teste) maar ik zal het voor jouw plezier nog es testen.

[toevoeging]
Net getest, en het werkt niet. Het certificaat is geinstalleerd, maar die irritante melding blijf ik houden.

Ik heb nu 2 testcertificaten bij 'other people' geinstalleerd (daar waar ze default terecht komen). Maar dat is zeker niet goed? (bij mozilla/netscape was het dus minimaal al minder moeite)

Acties:

woensdag 26 september 2001 20:18

Hier werkt het wel.. vraag me verder niet hoe precies, ik gebruik IE zelden. Gewoon wat opties uitproberen en tadaaa..

Acties:

woensdag 26 september 2001 21:03

Koffiebierbrouwer

Braaimeneer

Topicstarter

De eerste keer dat je die vraag krijgt, klik je op "View certificate".
Kies voor Certificate installeren.
Nxt -> Next -> Finish
Ga daarna naar het mees rechter tabblad en klik de onderste aan.
Kies weer voor View certificate en weer installeren (jekrijt nu ook de cijferreeks te zien).
Indien je certificate in order is, krijg je daarna niet meer.

Tijd voor een nieuwe sig..

Acties:

donderdag 27 september 2001 08:49

Software Architect

Werkt hier

Afbeeldingslocatie: http://vulcanus.its.tudelft.nl/~acm2/got/cert.png

Die knop, die ik daar niet kan indrukken

Acties:

donderdag 27 september 2001 12:00

Koffiebierbrouwer

Braaimeneer

Topicstarter

Stap 1
Men krijgt een vag over een certificate welke niet word ondersteund door een bestaande lijst (waar verisign e.d. als vertrouwes organisaties instaan):
Afbeeldingslocatie: http://www.oostindie.com/zooi/cert1.jpg

Afbeeldingslocatie: http://www.oostindie.com/zooi/cert1.jpg

Stap2
Men opent het certificate en kiest voor certicate installeren:
Afbeeldingslocatie: http://www.oostindie.com/zooi/cert2.jpg

Stap3
Er volgt een wizzard om het certificate te installeren. Kwesie van 2* op enter drukken:
Afbeeldingslocatie: http://www.oostindie.com/zooi/cert3.jpg

Afbeeldingslocatie: http://www.oostindie.com/zooi/cert3.jpg

Stap4
Nadat je met de wizzard het certificate hebt geinstalleerd moet je de uitgever van het certificate als betrouwbaar bestemepelen (zodat je ook andere certificates zonder probs aankan):
Afbeeldingslocatie: http://www.oostindie.com/zooi/cert4.jpg

Afbeeldingslocatie: http://www.oostindie.com/zooi/cert4.jpg

Stap5
Als je daar ook dmv een wizzard het certificate installeert zul je de signatures van het certificate zien:
Afbeeldingslocatie: http://www.oostindie.com/zooi/cert5.jpg

Afbeeldingslocatie: http://www.oostindie.com/zooi/cert5.jpg

Mocht je paranoid zijn of denken dat IE teveel certificates voor je vetrouwd, flikker dan alle vertrouwde certificates en hun organisations weg ui IE en de vraag zal elk keer opnieuw verschijnemn.

Persoonlijk zie ik net in waarom je iets niet zou vetrouwen.
Als ik op inet ga handelen (en later alleen incasseer en geen producten opstuur) en ik doe dat via SSL, kan ik zonder probs mijn certificates bij verisign dumpen.

Het gaat mij meer om deencrypte verbinding (en het feit dat ik gewoon geen vragen wil zien over certificates).

Tijd voor een nieuwe sig..

Acties:

donderdag 27 september 2001 14:01

Software Architect

Werkt hier

Op donderdag 27 september 2001 08:49 schreef Koffie het volgende:
Stap4
Nadat je met de wizzard het certificate hebt geinstalleerd moet je de uitgever van het certificate als betrouwbaar bestemepelen (zodat je ook andere certificates zonder probs aankan):
[afbeelding]

En dat kan dus niet, zie bovenstaand plaatje.
Als je het zou willen proberen op mijn server: https://vulcanus.its.tudelft.nl zou ik dat wel aardig vinden. Ik ben bang dat ik een verkeerd certificaat heb gemaakt ofzo

Acties:

donderdag 27 september 2001 14:54

Hmmz... bij jou lukt het me idd niet om IE aan z'n verstand te peuteren dat certificaat te vertrouwen...

Acties:

donderdag 27 september 2001 14:55

Software Architect

Werkt hier

Op donderdag 27 september 2001 14:01 schreef Onno het volgende:
Hmmz... bij jou lukt het me idd niet om IE aan z'n verstand te peuteren dat certificaat te vertrouwen...

Dan is het opzich niet zo gek dat jouw IE mijn certificaat niet vertrouwd.

Maar dat mijn IE dat niet doet is wel heel erg

Er moet ergens iets misgegaan zijn bij de certificaat creatie dan?

Nu een andere manier van certificaat maken (ook eigen CA gedoe (make certificate TYPE=custom) lijkt niet te helpen

)

Acties:

donderdag 27 september 2001 15:15

Koffiebierbrouwer

Braaimeneer

Topicstarter

Er is idd iets niet helemaal lekker met je certificate:

The security certificae was issued by a company you have not choosen to trust.
View the certificate to determine wether you want to trust the certofying authority.

Kies ik dan voor view certificate krijg ik bij het 1e tabblad de volgende info:

This certificate cannot be verified due to a lack of information

En bij het derde certificate:

The issuer of this certificate was not able to be found.

En nu we het er toch over hebben en Onno in da house is ... Iemand verstand/kennis/ervaring met certificates op een NW5.1 server ??

Tijd voor een nieuwe sig..

Acties:

donderdag 27 september 2001 15:19

* Onno steekt vinger op

Acties:

donderdag 27 september 2001 15:43

Software Architect

Werkt hier

Op donderdag 27 september 2001 14:55 schreef Koffie het volgende:

Mja, dat de trust provider niet in de lijst van IE staat is niet zo gek. Maar blijkbaar kan ie de certificaten er niet eens van vinden

Acties:

donderdag 27 september 2001 16:05

Koffiebierbrouwer

Braaimeneer

Topicstarter

Op donderdag 27 september 2001 15:19 schreef ACM het volgende:

[..]

Mja, dat de trust provider niet in de lijst van IE staat is niet zo gek. Maar blijkbaar kan ie de certificaten er niet eens van vinden

ACM
Klopt, want zoals bij de screenies van mij hgaat et allemaal wel goed, echter zegt IE dattie bij jou te weinig info heeft ojm ook maar uberhaupt iets te vetrouwen.
Ditmaal is het dus niet IE die dwars lcuht, maar jou certtificates

Onno:
Ik heb dus een probleem ...
Zoals je ziet aan mijn screenies, is mijn certificate op naam gezet van 'oostindie.2y.net' ten tijde van installatie van de server.
Nu is echter het geval dat ik een ander domein gebruik , namelijk: 'www.oostindie.com' .

als ik een HTTPS verbding leg, krij ik altijd de volgende melding:
Afbeeldingslocatie: http://www.oostindie.com/zooi/cert1.jpg

(Let op het onderste driehoekje).

Nu wil ik dus eigenlijk dat de issuer van het certificate gewijzig word van 'oostindie.2y.net' naar 'www.oostindie.com' .

Ik kan het certificate zelf niet vinden in de NDS (Als er al een juiste ConsoleOne of NwAdmin te vinden is met de goede snapins ervoor).

Ik heb al de CA weggegooid en opnieuw aangemaakt. Dit echter zonder resultaat.
Enig idee hoe ik het certificate wijzig.

Een mogelijke oplossing is om de server te reinstallen, dit gaat namelijk sowieso gebeuren.
Echter had ik in de planning om na de reinstall mijn NDS te restoren.
Dit omdat ik op de server ook GW6 draai. Deze staat volledig geinstalleerd op een apart volume.
Echter bij een reinstall krijgen de users een ander ID in de NDS dus vandaar dat ik de NDS wou restoren.

Oftewel dus 2 mogelijkheden:
- Certificate aanpassen in NDS. NDS backuppen -->reinstall -->restore NDS

- Server reinstallen --> nieuwe NDS met opnieuw gemaakte users (zelfde namen) koppelen aan nog bestaande GW die op apart volume staat.

Beide oplossingen zijn bruikbaar,m maar van beide weet ik het antwoord niet.
Bij Novell is weinig (bruikbaas voor dit geval) te vinden over certificates.

Enig idee .... ??

Tijd voor een nieuwe sig..

Acties:

donderdag 27 september 2001 16:09

Op donderdag 27 september 2001 15:43 schreef Koffie het volgende:
Nu wil ik dus eigenlijk dat de issuer van het certificate gewijzig wordt van 'oostindie.2y.net' naar 'www.oostindie.com'.

Niet de issuer, maar het subject. En dat kun je niet veranderen, wat je moet doen is een nieuw certificaat maken.

Ik kan het certificate zelf niet vinden in de NDS (Als er al een juiste ConsoleOne of NwAdmin te vinden is met de goede snapins ervoor).

Certificaten staan in dezelfde context als je server, en hebben een naam als 'certificaatnaam - SERVERNAAM'. Standaard is de certificaatnaam iets als 'SSL CertificateDNS'. Die naam staat ook in de magnus.conf of httpd.conf (eerste voor NES, tweede voor Apache), dus daar kun je ook opzoeken hoe je certificaat heet.

Ik heb al de CA weggegooid en opnieuw aangemaakt.

Dat is niet erg handig, want daarmee maak je al je bestaande certificaten ongeldig.

Je gaat dus een nieuw certificaat maken:
1. Nieuw object maken

Afbeeldingslocatie: http://onno.dhs.org/~onno/ssl/stap1.jpg

2. Server kiezen waarvoor certificaat is, en de naam van het certificaat geven. (mag je voor kiezen wat je maar wilt)
Kies 'custom' als creation method, anders kun je later niet zelf het subject invullen.

Afbeeldingslocatie: http://onno.dhs.org/~onno/ssl/stap2.jpg

Afbeeldingslocatie: http://onno.dhs.org/~onno/ssl/stap2.jpg

3. Als je duur wilt doen ga je voor de onderste optie, maar dat zal wel niet.

Afbeeldingslocatie: http://onno.dhs.org/~onno/ssl/stap3.jpg

4. Kies SSL en zoveel mogelijk bits.

Afbeeldingslocatie: http://onno.dhs.org/~onno/ssl/stap4.jpg

5. Zorg evoor dat het subject klopt! Standaard zal dat meestal niet zo zijn, er moet tenminste iets als .CN=hostnaam.O=organisation staan. (organisation is standaard je tree naam)
Alternatieve naam is leuk, maar niet nodig.

Afbeeldingslocatie: http://onno.dhs.org/~onno/ssl/stap5.jpg

Afbeeldingslocatie: http://onno.dhs.org/~onno/ssl/stap5.jpg

6. Kies bovenste optie.. je webbrowser weet toch niet wat Novell Security Attributes(TM) zijn.

Afbeeldingslocatie: http://onno.dhs.org/~onno/ssl/stap6.jpg

Afbeeldingslocatie: http://onno.dhs.org/~onno/ssl/stap6.jpg

7. Klaar!

Afbeeldingslocatie: http://onno.dhs.org/~onno/ssl/stap7.jpg

En om dit certificaat te gebruiken hoef je alleen maar 'SSL certificaatje' in te vullen in je magnus.conf of httpd.conf.

Acties:

donderdag 27 september 2001 16:12

Koffiebierbrouwer

Braaimeneer

Topicstarter

Onno .... U is geweldig!!!
Ik kan nu niets controleren want we draaien hier geen NW

Overigens.. ik heb dus wel weer een CA aangemaakt daarna.
Die screenys .. welke versie van ConsoleOne gebruike je (en wlke snapins??).

Want me de 1.2 versie van de GW6 CD lukt het niet (geen snapins) als ook met de 1.2 vanaf de public lukt het niet.

Nog ff dus een opsomming:

Ik wijzig het het hele gebeuren aan de hand van jou verhaal.
Backup maken van de NDS
Reinstall server
Na afloop als server draaiende is NDS restoren
Zowel GW als de certificates zouden nu moeten werken.

Klopt het zo?

Tijd voor een nieuwe sig..

Acties:

donderdag 27 september 2001 16:16

Op donderdag 27 september 2001 16:09 schreef Koffie het volgende:
Die screenys .. welke versie van ConsoleOne gebruike je (en wlke snapins??).

1.2d geloof ik.. en de snapins voor de certificate server zitten gewoon standaard bij NW5.1.

Ik wijzig het het hele gebeuren aan de hand van jouw verhaal.
Backup maken van de NDS
Reinstall server
Na afloop als server draaiende is NDS restoren
Zowel GW als de certificates zouden nu moeten werken.

Klopt het zo?

Ik denk het wel. Maar ik weet niet of je dingen als Certificate Authorities uberhaupt kunt restoren... die gebruiken ook info die niet in NDS staat nl. Maar daar is alleen achter te komen door het uit te proberen.

Acties:

donderdag 27 september 2001 16:26

Koffiebierbrouwer

Braaimeneer

Topicstarter

Hmmz ... OK
Maar als ik de server opnieuw install, staat de info goed.
Jens ik daar een restore van de NDS overheen dan word dezelfde info overschreven, en ben ik er zeker van dat GW functgioneel blijft.

Ik ga gewoon fijn proberen ...

3. Als je duur wilt doen ga je voor de onderste optie, maar dat zal wel niet.

Ik wil dus meet FreeSSL eens gaan proberen.
Echter ik hoef toch alleen maar sec-key.nlm/exe te draaien

Tijd voor een nieuwe sig..

Acties:

donderdag 27 september 2001 16:26

Software Architect

Werkt hier

Op donderdag 27 september 2001 15:43 schreef Koffie het volgende:
ACM
Klopt, want zoals bij de screenies van mij hgaat et allemaal wel goed, echter zegt IE dattie bij jou te weinig info heeft ojm ook maar uberhaupt iets te vetrouwen.
Ditmaal is het dus niet IE die dwars lcuht, maar jou certtificates

Mja, het probleem is dan dat dit gewoon 'default' uit 'make certificate' rolt.

Ik zal nog even de config files checken of daar nu iets fouts in staat.

[edit]
Ah, het is nu gelukt.
Dmv 'make certificate TYPE=custom'
en dan in de apache config de regel:

code:

1 2	SSLCACertificatePath /etc/httpd/conf/ssl.crt SSLCACertificateFile /etc/httpd/conf/ssl.crt/ca-bundle.crt

Goed (lees, # weghalen

) te zetten.
[edit2]
En hetzelfde certificaat bundeltje nu ook in stunnel, voor de pop3s

Acties:

Verwijderd

Een gratis certificaat kun je volgens mij krijgen bij Globalsign. Enige voorwaarde is dat je een KvK registratie hebt.

Verder kun je met OpenSSL ook heel makkelijk certificaten maken die ook prima werken onder IExploder en Netschaap.

http://www.illian.net/dev/projects/00002/

staat hoe het werkt met OpenSSL.

Bij het maken van het certificate moet je opletten dat je de naam van de site goed zet, zoals je al door hebt.

Succes!
mh

donderdag 27 september 2001 18:36

Acties:

vrijdag 28 september 2001 11:07

Koffiebierbrouwer

Braaimeneer

Topicstarter

Op donderdag 27 september 2001 16:26 schreef ACM het volgende:
[..]
[edit]
Ah, het is nu gelukt.
Dmv 'make certificate TYPE=custom'
[..]

Indeed ... het werkt hier nu goed!

Tijd voor een nieuwe sig..

Acties:

vrijdag 28 september 2001 11:15

Koffiebierbrouwer

Braaimeneer

Topicstarter

Onno,

Thx het werkt nu.
Ik had eerst een certificate gemaakt, maar dat ging fout.
Vervolgens de naam van het certificate in magnus.conf ge-edit. Maar dat vond SAS niet fijn.
Vervolgens dus de originele "SSL CertificateNDS" en "SSL CertificateIP" hernoemd, en nieuwe aangemaakt.
Toen ging het wel goed

Nu nog een ander vraagje,
Hoe kan ik meerdere certificates aanmaken zodat ik een ander domain op dezelfde NES ook een certificate kan geven?

Tijd voor een nieuwe sig..

Acties:

vrijdag 28 september 2001 13:01

Op vrijdag 28 september 2001 11:07 schreef Koffie het volgende:
Nu nog een ander vraagje,
Hoe kan ik meerdere certificates aanmaken zodat ik een ander domain op dezelfde NES ook een certificate kan geven?

Dat kan alleen als je meerdere ip's hebt, of een certificaat dat voor meerdere domeinen tegelijk geldig is.
HTTP wordt bij HTTPS immers in SSL geencapsulate, en dus heb je nog voordat je HTTP "Host: mijn.domein.com" header verstuurd is al met SSL te maken. En dus kan je webserver niet aan de hand van die header het juiste certificaat versturen, want die *is* al verstuurd.

Acties: