Логотип   Простое и понятное управление
  Уникальные возможности по настройке
  Open Server скачали уже 1 375 499 раз!

Форум

Добро пожаловать, Гость!

Установка самоподписанного SSL сертификата

Обсуждение общих вопросов связанных с программой
rend88
Сообщения: 31
C нами: 2 года 9 мес

Непрочитанное сообщение rend88 » 09 май 2017, 16:09

Сразу скажу я перечитал 167 страниц с темой как установить SSL и решения не нашел.
Возможно я просто что-то не понимаю, и не увидел как правильно это сделать. Не пинайте за подобное.


И так проблема вот в чем, мне надо просто запустить https на домене
Руководствуясь этой статьей habrahabr.ru/post/192446/
Я сделал все как там было написано, и все заработало но только в одном браузере в
Mozilla так как у него свое хранилище сертификатов. Но вот в Google не хочет запускаться,
кеш чистил кучу раз перегружал. Выдает постоянно что Ваше подключение не защищено

Сам домен test.ru
Далее скрины

2.png

Кто с таким сталкивался?

А тут все работает и показывает верное подключение
3.png
1.png



И сразу же 2) вопрос
Для отдельного домена сделать ssl надо прописать конфиг в каком именно файле
Apache-2.4_server.conf
Apache-2.4_vhost.conf


Внутри директивы
<IfModule ssl_module>
......
</IfModule>

Если да, то Apache не грузится
И если до этой директивы тоже самое не грузится Apache

Аватара пользователя
Максим
Сообщения: 5196
C нами: 6 лет 11 мес
Контакты:

Непрочитанное сообщение Максим » 09 май 2017, 16:22

Так а сам то сертификат центра сертификации (root CA) вы установили в хранилище Windows? IE и Хром используют хранилище Windows, об этом в указанной вами статье даже написано.

rend88
Сообщения: 31
C нами: 2 года 9 мес

Непрочитанное сообщение rend88 » 09 май 2017, 16:47

я добавил в хранилище хрома.
Он успешно отображается
Вложения
2.png
1.png

Аватара пользователя
Максим
Сообщения: 5196
C нами: 6 лет 11 мес
Контакты:

Непрочитанное сообщение Максим » 09 май 2017, 17:04

Возможно что-то с сертификатами, которые вы нагенерировали. Сгенерируйте их не по какой-то непонятной статье, а штатными средствами Open Server (в Консоли):

cd modules\http\Apache-2.4\conf
generate


Семь новых файлов будут созданы в этой же папке conf. В самом файле generate.bat можете подставить своё имя центра сертификации и имя домена для самого сертификата. Скриптом будут сгенерированы 100% рабочие сертификаты без вашего участия, вам нужно будет их только установить. После установки в Windows хранилище Хром нужно будет перезапустить.

Чтобы установить сертификат на сайт делаете всё как в руководстве - копируете файл Apache-2.4_vhost.conf (ну или другой смотря какие у вас модули активны) в папку с доменом и в этом файле всё что нужно прописываете (там и так всё есть, вам нужно только пути поменять).

rend88
Сообщения: 31
C нами: 2 года 9 мес

Непрочитанное сообщение rend88 » 09 май 2017, 17:47

Сделал все так как вы написали.
Не хочет 3 разных хрома и не в одном не работаете так же в IE тоже не работает Opera так же не работает. Она видать использует общее хранилище
Вложения
3.png
2.png
1.png

Аватара пользователя
Максим
Сообщения: 5196
C нами: 6 лет 11 мес
Контакты:

Непрочитанное сообщение Максим » 09 май 2017, 17:58

Получается, что домен сертификата не может быть именем центра сертификации. У вас везде test.ru Переименуйте центр сертификации. Назовите центр ROOTRU или ROOTLOCAL и уже выдавайте через него сертификаты на локальные домены с любым именем. Проще говоря не нужно прописывать существующий локальный домен (и вообще домен) в имя центра сертификации. Можете вообще его не трогать и оставить как OSPanel.

rend88
Сообщения: 31
C нами: 2 года 9 мес

Непрочитанное сообщение rend88 » 09 май 2017, 18:40

Да Максим, в очередной раз вы правы. Что нельзя использовать использовать одно и тоже название при генерации. Хотя это логично сайта не может сам себе выдать сертификат. Но почему-то пока вы не указали на это, я не давал большого значения.
1.png



Чтобы установить сертификат на сайт делаете всё как в руководстве - копируете файл Apache-2.4_vhost.conf (ну или другой смотря какие у вас модули активны) в папку с доменом и в этом файле всё что нужно прописываете (там и так всё есть, вам нужно только пути поменять).

Получается что я просто копирую Apache-2.4_vhost.conf в корень домена test.ru
И далее правлю пути. Я так понимаю что изменить название файла Apache-2.4_vhost.conf я не могу так как он не подхватится Apache ?

Аватара пользователя
Максим
Сообщения: 5196
C нами: 6 лет 11 мес
Контакты:

Непрочитанное сообщение Максим » 09 май 2017, 18:46

Можете изменить содержимое, просто смотрите чтобы основные системные параметры Open Server не поломали (порт, ip, пути), иначе будет сбой запуска. Ну и само собой конфиг не поломайте, а то тогда уже будет сбой на стороне самого Apache.

rend88
Сообщения: 31
C нами: 2 года 9 мес

Непрочитанное сообщение rend88 » 09 май 2017, 18:48

Я вот как только поменял название
Apache-2.4_vhost.conf -> SSL_vhost.conf и все отвалился сразу сертификат

Аватара пользователя
Максим
Сообщения: 5196
C нами: 6 лет 11 мес
Контакты:

Непрочитанное сообщение Максим » 09 май 2017, 19:50

rend88 писал(а):Я вот как только поменял название
Apache-2.4_vhost.conf -> SSL_vhost.conf и все отвалился сразу сертификат


Прикольно. А вы надеялись что будет работать как и работало? Файл не просто так назван таким именем. Я имел ввиду, что вы можете изменить содержимое (подстроить конфиг под себя для нужного вам домена), а не название файла.

Всё таки не давало мне покоя эта ситуация с доменами. Раньше же всегда такие сертификаты работали. Наконец то я докопался в чём дело - нужно создавать X.509v3 сертификаты, тогда всё работает.

Новое содержимое generate (на примере домена test.ru):
@echo off
set OPENSSL_CONF=%~dp0..\conf\openssl.cnf
..\bin\openssl req -x509 -sha256 -newkey rsa:2048 -nodes -days 5475 -keyout rootCA.key -out rootCA.crt -subj "/CN=test.ru/"
..\bin\openssl req -newkey rsa:2048 -nodes -days 5475 -keyout server.key -out server.csr -subj "/CN=test.ru/"
..\bin\openssl x509 -req -sha256 -days 5475 -in server.csr -extfile v3.txt -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out server.crt
..\bin\openssl dhparam -out dhparam.pem 2048


Содержимое файла v3.txt (его нужно создать в папке conf рядом с generate.bat):
nsComment              = "Open Server Panel Generated Certificate"
basicConstraints       = CA:false
subjectKeyIdentifier   = hash
authorityKeyIdentifier = keyid,issuer
keyUsage               = nonRepudiation, digitalSignature, keyEncipherment


Вернуться в «Обсуждение Open Server»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость