[Sysadmins] SSL

[Anton Gorlov]

ПОнадобилось сгенерит кучку сертефикатов для апача.. Так как давно не 
делал этого решил воспользоваться запиской на freesource.info
	
CA.pl -newca
openssl req -new -nodes -keyout newreq.pem -out newreq.pem
CA.pl -sign
openssl rsa < newreq.pem > newkey.pem

Прописал всё это дело в апаче
Результат - всякие ff/opera/mozilla и konqueror без проблем проглотили
сертефикат.

А IE однако не захотел кушать такой сетефикат со словами что не достаточно
информации..вернее он его кушает,даже типа устанавливает..но не как 
корневой и
при следующем заходе опять спрашивает что делать.

погуглил. нашёл некий рецепт в виде

openssl pkcs12 -export -in server_cert.pem -inkey server_key.pem -out 
iestuff.p12

Потом засунул iestuff.p12 в ие... Фиг - всё равно гвоорит что сертефикат 
подписан неизвесной стороной.

Временно сгенерил сертефикат с помощью

openssl genrsa  2048 >hostkey.pem
openssl req -config host.conf  -new -x509 -nodes -sha1 -days 365 -key
hostkey.pem > hostcert.pem

и
+#    SSLCACertificatePath /etc/apache2/cert
+#    SSLCACertificateFile /etc/apache2/cert/cacert.pem

При таком раскладе IE таки предлагает устанвоить сертефикат как корневой 
и всё такое... но хотелсоь бы имет ь1 корневой и им уже подписывать всё 
остальное. Вопрос -что пропустил при чтении манов?
-- 
   np: silence