[Sysadmins] SSL

[Anton Gorlov]

Konstantin A. Lepikhov пишет:

> купите сертификат ;) или скажите всем пользователям поставить ваш cacert к
> себе.

Быстрее меняч порвут,как тузик грелку..
Сейчас заказчика вполне устраивает вариант, кторый предожен другим 
исполнителем в другом филиале вида

openssl genrsa  2048 >hostkey.pem
  openssl req -config host.conf  -new -x509 -nodes -sha1
  -days 365 -key hostkey.pem > hostcert.pem

Но понятно что такой вариант не есть гуд...В общемто покурив ещё парчоку 
урлов таки получилсоь сгенеритьсерефикат и получить корневой который 
можно руками вбить в доверенные, после чего всё чудесным образом пашет.
Но заказчика категорически не устраивает вариант, когда пользователю 
нужно чтото там руками вносить в браузер..

Сейчас же корневой таки приходится экспортировать через
openssl pkcs12 -export -in server_cert.pem -inkey server_key.pem -out 
iestuff.p12, после чего всё работает.

Вопрос -возможно как-нибудь добиться чтобы юзерупри заходе н сайт сразу 
предложили устанвоить корневой и всё..

Хотя хм..посмотрел https://bugzilla.altlinux.org - там таки юзается
вариант когда серефикат сгенерёнсамим же сайтом. :-/


-- 
   np: silence