Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2016-08-17 12:07:10
ethanak - 
Użytkownik
Nginx i certyfikat SSL z nazwa.pl
Witam.
Za cholerę nie mogę tego skonfigurować...
Mam od klienta pliki klucza i certyfikatu, co bym z nimi nie robił i nie dołączał wychodzi mi "unknown issuer".
Może jaka dobra dusza mi pomóc?
Nie ukrywam, że zależy mi nieco na czasie, bo klient się dzisiaj obejrzał że wczoraj mu certyfikat wygasł i panikuje...
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]
Offline
#2 2016-08-17 14:29:51
jurgensen - Użytkownik
- jurgensen
- Użytkownik
- Skąd: Wrocław
- Zarejestrowany: 2010-01-26
Re: Nginx i certyfikat SSL z nazwa.pl
Jeśli jest to tylko posredni, musisz go połączyć w łańcuch z głównym certyfikatem
Offline
#3 2016-08-17 14:52:08
ethanak - Użytkownik
Re: Nginx i certyfikat SSL z nazwa.pl
A podasz dokładny przepis? Bo ja albo ze starości już zdurniałem albo mi leki szkodzą... Bo tak właśnie próbuję tylko nie wychodzi :(
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]
Offline
#4 2016-08-17 17:59:53
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Nginx i certyfikat SSL z nazwa.pl
W helpdesku Nazwy nie wiedzą? kasę wzięli, więc łaski nie robią.
Ja zawsze przed zakupem certu patrzę w dokumentacji, czy do planowanych serwerów pasuje.
Poza tym na Lighttpd czy Apachu też świruje, czy tylko Nginx miewa takie humory?
Ostatnio edytowany przez Jacekalex (2016-08-17 18:00:36)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#5 2016-08-17 19:03:32
ethanak - Użytkownik
Re: Nginx i certyfikat SSL z nazwa.pl
[bug][/bug]A czy to ja kupowałem ten certyfikat? W życiu bym u nich nie kupił, ale niestety to klienta, a ze mną helpdesk raczej nie pogada.
Poza tym nie wiem czy świruje na apaczu - na maszynie stoi nginx jako frontend do varnisha i nie przewiduję eksperymentów na produkcyjnym serwerze.
Z tego co wiem problem jest specyficzny dla nazwy, reszta działa bez zająknięcia - stąd moje pytanie.
Pomożesz czy będziesz dalej udowadniać że jesteś mądrzejszy?
Bo wiesz... Błogosławieni ci, którzy nie mając nic do powiedzenia nie ubierają tego w słowa...
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]
Offline
#6 2016-08-17 19:39:46
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Nginx i certyfikat SSL z nazwa.pl
Certyfikat musi być na zewnętrznej maszynie, nie za proxy.
Poza tym jakieś logi Nginxa albo wynik
Kod:
openssl s_client ....
by się przydały.
Przy okazji, nie musiałeś kupować certu, ja kiedyś w home zrobiłem taką awanturę, że poskarżyli się mojemu
i ich klientowi, na co usłyszeli, od klienta, że jego admin w całym życiu bardziej pojebanego hostingu nie widział,
i dostał radę, żeby brać dowolny, byle nie home bo gorszego gówna niż home w kosmosie po prostu nie ma.
Wtedy zrobili się grzeczniejsi, a do mnie napisał jakiś kierownik, żeby jeszcze raz dokładnie opisać istotę problemu...
Napisałem ją otwartym tekście na stronie (index.html) i dałem mu sznurka, natychmiast pomogło. :D
Następnym razem weź bat, płonące kółko, potem wytresuj klienta w przedmiocie kupowania certu zanim zrobi coś głupiego. xD
EDIT:
Rzuć okiem na to:
https://www.8px.pl/nazwa-pl-i-problem-z-certyfikatem-ssl/
https://www.8px.pl/ssl-nazwa-pl-nginx-czesc-2/
Ostatnio edytowany przez Jacekalex (2016-08-17 19:43:34)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#7 2016-08-18 07:16:12
ethanak - Użytkownik
Re: Nginx i certyfikat SSL z nazwa.pl
[quote=Jacekalex]Certyfikat musi być na zewnętrznej maszynie, nie za proxy.[/quote]
Ten zestaw (nginx + varnish + apache) działa mi bez problemu już drugi rok.
Poza tym wspominałem, że nginx jest frontendem do varnisha...
Poza tym jakieś logi Nginxa[/quote]
Nic tam nie maalbo wynik
Kod:
openssl s_client ....by się przydały.[/quote]
A coś bliżej, bo na tym się nie znamPrzy okazji, nie musiałeś kupować certu,[/quote]
Ja nie musiałem - osobiście korzystam ze startssl, tyle samo wart co nazwa a bezpłatny i instaluje się bez problemów.
A wytresowanie klienta nie wchodzi w grę - toto jest wybitnie odporne na wiedzę.Rzuć okiem na to:
https://www.8px.pl/nazwa-pl-i-problem-z-certyfikatem-ssl/
https://www.8px.pl/ssl-nazwa-pl-nginx-czesc-2/[/quote]
Akurat od tego zacząłem...
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]Offline
#8 2016-08-18 11:19:45
ethanak - Użytkownik
Re: Nginx i certyfikat SSL z nazwa.pl
Zaczyna się jeszcze ciekawiej...
Żeby nie było, że coś pomyliłem:
mam plik z certyfikatem klienta (certyfikat.crt) i klucz (klucz.txt)
mam zipa z nazwa.pl, po rozzipowaniu mam:
gsca.crt
ca.crt
nazwassl.cer
Robię sobie:
Kod:
openssl x509 -inform der -in gsca.crt gsca.pem openssl x509 -inform der -in ca.crt ca.pem
Kopiuję nazwassl.cer do nazwassl.crt i wycinam wszystko aż do początku certyfikatu
Robię następnie:
Kod:
cat certyfikat.crt gsca.pem ca.pem nazwassl.crt > efekt.crt
pliki efekt.crt i klucz.txt kopiuję we właściwe miejsce, określone w konfiguracji serwera.
service nginx configtest nie zgłasza problemów
service nginx restart takoż
W efekcie mam na firefoksie ostrzeżenie przed nieznanym wystawcą.
Ale...
Wchodzę na stronę nazwa.pl - i nagle wszystko zaczyna działać!
Po usunięciu cert8.cb i restarcie Firefoksa wraca do normy (tzn. do niedziałania).
Ktoś mnie oświeci gdzie tu jest babol? Bo naprawdę pierwszy raz mam takie jaja i szczerze mówiąc nie mam pojęcia co robić.
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]
Offline
#9 2016-08-18 15:11:24
jurgensen - Użytkownik
- jurgensen
- Użytkownik
- Skąd: Wrocław
- Zarejestrowany: 2010-01-26
Re: Nginx i certyfikat SSL z nazwa.pl
Jak wejdziesz na stronę,dla której jest wystawiony cert i klikniesz w certyfikaty w FX, to masz cały łańcuch (3 certyfikaty), czy tylko dwa certy (dla strony i ten którym jest podpisany)?
Offline
#10 2016-08-18 15:17:33
ethanak - Użytkownik
Re: Nginx i certyfikat SSL z nazwa.pl
Normalnie nic mi nie pokazuje (bo nie ma połączenia), jeśli zrobię wyjątek to mam wszystkie. To samo po wejściu na nazwę - pokazuje ślicznie cały łańcuch.
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]
Offline
#11 2016-08-19 06:06:59
ethanak - Użytkownik
Re: Nginx i certyfikat SSL z nazwa.pl
Na razie wygenerowałem certyfikat letsencryptem - co prawda wymagało to nieco ekwilibrystyki bo chciał koniecznie varnisha wyłączyć ale udało mi się mu to jakoś wyperswadować.
Tym niemniej nie jest to rozwiązanie a prowizoryczne obejście, jakby ktoś cokolwiek wiedział lub miał jakiś konkretny pomysł to byłoby mi niezmiernie miło, gdyby się ową wiedzą/pomysłem podzielił :)
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]
Offline
#12 2016-08-19 19:17:06
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Nginx i certyfikat SSL z nazwa.pl
Więcej czasu zmarnujesz na gimnastykę z tym zjebanym nazwacertem, niż wynosi realna wartość któregoś z tych certów:
StartSSL™ Identity Validation
StartSSL™ Organization Validation
Te przynajmniej działają dosyć grzecznie.
Tu z resztą masz tutki:
https://www.startssl.com/Support?v=20
Nazwa widocznie nie sprzedała ani jednego certyfikatu od wielu lat, dlatego w ogóle nie wie, jak one działają, albo poziom korporacyjnego kretyństwa już tam przekroczył wszelkie dopuszczalne normy, co jest dosyć powszechne w dużych firmach.
Pozdro
PS:
Wyślij sznurek do tego wątku do jakiegoś ważniaka z Nazwy, to może poszuka lepszych speców od generowania certów. Z infopracy się dowiemy, ile znajdą administratorów i programistów z grupą inwalidzką. xD
Ostatnio edytowany przez Jacekalex (2016-08-19 19:23:41)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00011 | SET CHARSET latin2 |
| 0.00004 | SET NAMES latin2 |
| 0.00144 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.225.254.81' WHERE u.id=1 |
| 0.00104 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.225.254.81', 1732746495) |
| 0.00034 | SELECT * FROM punbb_online WHERE logged<1732746195 |
| 0.00052 | SELECT topic_id FROM punbb_posts WHERE id=304326 |
| 0.00024 | SELECT id FROM punbb_posts WHERE topic_id=28865 ORDER BY posted |
| 0.00029 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=28865 AND t.moved_to IS NULL |
| 0.00036 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00095 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=28865 ORDER BY p.id LIMIT 0,25 |
| 0.00080 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=28865 |
| Total query time: 0.00613 s | |