самоподписанный сертификат ssl предупреждение Недействительный сертификат

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модератор: SLEDopit

Ответить
safronowmax
Сообщения: 103

самоподписанный сертификат ssl предупреждение Недействительный сертификат

Сообщение safronowmax »

Здравствуйте, подскажите пожалуйста, есть веб-сервер на nginx (ОС Centos 7), настроил самоподписанный сертификат (настраивал по статье https://www.8host.com/blog/sozdanie-samopodpisannogo-ssl-sertifikata-dlya-nginx-v-ubuntu-18-04/). Добавил этот сертификат на клиентский ПК (Windows 7) в доверенные корневые сертификаты через оснастку Сертификаты, но все равно в хроме при доступе на сайт возникает предупреждение "Не защищено, Недействительный сертификат. Что я сделал не так?
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: самоподписанный сертификат ssl предупреждение Недействительный сертификат

Сообщение Bizdelnick »

safronowmax писал(а):
16.03.2023 15:26
Добавил этот сертификат на клиентский ПК (Windows 7) в доверенные корневые сертификаты
Почему в корневые-то? Уберите оттуда, ему там не место. Это сертификат сервера, и, насколько мне известно, способа сделать его доверенным глобально нет. Надо в браузере (каждом) добавлять. А если хотите непременно глобально системными средствами, то самоподписанный сертификат не годится. Надо создавать УЦ, его сертификат добавлять в корневые, и использовать его для подписывания сертификатов серверов.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Aliech
Сообщения: 952
Статус: дилетант широкого профиля
ОС: Gentoo arm64 musl hardened
Контактная информация:

Re: самоподписанный сертификат ssl предупреждение Недействительный сертификат

Сообщение Aliech »

1. В корневые сертификаты добавлять только сертификат центра.
2. В сертификаты серверов не забывайте включать subjectAltName, а то последние пару лет именно на него смотрят приложения, а не на cn,
С уважением,
Павел Алиев
Спасибо сказали:
safronowmax
Сообщения: 103

Re: самоподписанный сертификат ssl предупреждение Недействительный сертификат

Сообщение safronowmax »

Bizdelnick писал:
16.03.2023 17:59
safronowmax писал(а):
16.03.2023 15:26
Добавил этот сертификат на клиентский ПК (Windows 7) в доверенные корневые сертификаты
Почему в корневые-то? Уберите оттуда, ему там не место. Это сертификат сервера, и, насколько мне известно, способа сделать его доверенным глобально нет. Надо в браузере (каждом) добавлять. А если хотите непременно глобально системными средствами, то самоподписанный сертификат не годится. Надо создавать УЦ, его сертификат добавлять в корневые, и использовать его для подписывания сертификатов серверов.
Bizdelnick, да, спасибо большое. Я считал, что самоподписанный сертификат является одновременно и корневым (прочитал где-то об этом), поэтому и добавлял его в корневые доверенные.
Спасибо сказали:
Аватара пользователя
technotrance
Сообщения: 280
ОС: Fedora, FreeBSD, CentOS, Debian
Контактная информация:

Re: самоподписанный сертификат ssl предупреждение Недействительный сертификат

Сообщение technotrance »

Если совсем по-джедайски, то можно сертификат Let’s Encrypt приделать с автоматическим обновлением.
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: самоподписанный сертификат ssl предупреждение Недействительный сертификат

Сообщение Bizdelnick »

technotrance писал:
17.03.2023 06:18
Если совсем по-джедайски, то можно сертификат Let’s Encrypt приделать с автоматическим обновлением.
В интранете не получится.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
technotrance
Сообщения: 280
ОС: Fedora, FreeBSD, CentOS, Debian
Контактная информация:

Re: самоподписанный сертификат ssl предупреждение Недействительный сертификат

Сообщение technotrance »

Bizdelnick писал:
17.03.2023 12:53
В интранете не получится.
Смотря как интранет организован, я делал. Локальный домен был local.domen.ru. И сервер звался 1c-serv.local.domen.ru.
Спасибо сказали:
Ответить