private key/certificate
Zanima me ali drži trditev, da strežnik pri avtentikaciji uporabnika prične brati privatni ključ in certifikat samo v primeru, da je pred besedo BEGIN točno pet znakov “—–” in drugič ali drži trditev, da sta prva dva znaka pri privatnem ključu in certifikatu vedno enaka!?
Hvala za odgovor.
—–BEGIN RSA PRIVATE KEY—–
> MIICWwIBAAKBgQDhhrFex+K/HBZe/Sgl2nZmppRRmADgaRByOMURyI36gvQ1+FNO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—–END RSA PRIVATE KEY—–
—–BEGIN CERTIFICATE—–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—–END CERTIFICATE—–
1. DA
2. DA
vendar me ne prijet za besedo 
lp
Pa še podvprašanje. Ali poznate mogoče še kakšno takšno “podrobnost” ki mora biti obvezno izpolnjena, da strežnik sploh začne brati podatke?
mislim da mora biti tudi check sum pravilen, sicer je pa odvisno
tudi od strežnika, saj obstajajo različne verzije
zapisov certifikatov za različne verzije odjemalcev/strežnikov,
npr. IIS 3xx, ali 4xx, ali npr. Apache, Netscape ….
Zanima me še, če je naprimer:
1.) Napačen certifikat in napačen privatni ključ, kakšno je v tem primeru sporočilo strežnika za uporabnika
2.)Pravilen certifikat in napačen privatni ključ, kakšno pa je vtem primeru sporočilo strežnika za uporabnika, enako kot zgorej ali drugačno?
najprej razčistiva
ali te to zanima za strežnike
ali za osebno rabo ????
V čem pa je razlika?
no ja – saj ni prav velike razlike…
1.) Napačen certifikat in napačen privatni ključ, kakšno je v tem primeru sporočilo strežnika za uporabnika
pač dobiš odgovor npr.
napačen certifikat in pravi privatni ključ:
– za spletno stran:
certifikat je pravilen – ima pravilen datum izdaje, vendar
ni pravilno spletno mesto mesto
poglej za odgovor:
– pravilen privatni ključ, pravilen certifikat, vendar zaupanja nevreden
CA izdajatelj
pred časom sem si ga skreiral ravno za potrebe testiranja CA sistema
2.)Pravilen certifikat in napačen privatni ključ, kakšno pa je vtem primeru sporočilo strežnika za uporabnika, enako kot zgorej ali drugačno?
mislim, da ag v tem primeru sploh ne moreš uporabljati/instalirati, ker
ti ga sistem sploh ne pusti
Samo kot zanimivost v primeru da je nek certifikat zaupanja nevrednega CA v primeru da ga namestimo v IE v certifikatno shrambo v “personal” in sistem javi, da certifikat ni “trusted”, potem pa ta isti certifikat v .pfx formatu namestimo še v srambo med zaupanja vredna podjetja… in kar naenkrat postane trusted in je na izhodiščnem ojnu označen s kljukico in ga sistem spusti skozi……
ja saj to vem, saj je vsak certifikat lahko trusted, tudi če ga ne
izda trusted CA izdajatelj, npr. moja spletna stran, PBS, NLB…..
to je pač čisto normalno.
Vsak izdajatelj ki NE plača dovolj denarja proizvajalcu programske
opreme, da ga doda med trusted izdajatelje, v tem primeru postane
non trusted CA izdajatelj..
Prva dva znaka tvojega testnega 1024 bitnega privatnega ključa sta torej 30….. haha:)))
eh – kaj češ – tako je življenje, če boš pa dekodiral privatno geslo, mi
ga pa prosim povej, ker sem ga čisto pozabil hihi (prestar sem že :))
Da bi pa dekodiral privatno geslo, ja bom poiskusil če mi daš časa dva trilijona let, če pa mi potem še vedno ne bo uspelo bom pa odnehal……, da se ne bom preveč postaral…..
No za začetek ti pomagam z delnim cut&paste:
server.key:
—–BEGIN CERTIFICATE—–
MIIDlTCCAv6gAwIBAgIBADANBgkqhkiG9w0BAQQFADCBlDELMAkGA1UEBhMCU0kx
DTALBgNVBAgTBERvbWExFDASBgNVBAcTC0RuZXZuYSBzb2JhMREwDwYDVQQKEwhT
Privaten ključ:
—–BEGIN RSA PRIVATE KEY—–
MIICXAIBAAKBgQDO1UysVGyQTsqyxPMNrVovazLZcFsFf3B3M5ydsAxiwqOuI76L
a2YtfVwNoO6PJnCe8CKcp37yRChcMCgMiGi8FKF+FH2sX774ZR3xzEA+KS43pKAm
upam, da ti bo kaj lažje in boš potreboval samo
še 1210 let :))))))
Iz tvoje spletne strani pa se mi zdi nekaj neobičajno, pa ne vem ali to funkcijsko gledano kaj spremeni?
Običajno bi bilo:
navaden način:
http://www.softraja.com
varen način:
https://softraja.com (ti pa imaš še vedno zraven tudi www)
ime na certifikatu:
“CN=softraja.com” (ti pa imaš še vedno zraven tudi www)
Zgornji privatni ključ sigurno ni pravi, ker sva na začetku rekla, da sta prva dva znaka pri privatnem in javnem ključu enaka, pogledal sem tvoj javni ključ na tvojem certifikatu in se začne z 3081…..hehe, sem že nekaj sto let prišparal…:)))
hja, pa je temu tako, če pogledaš certifikat:
Izdan za: http://www.softraja.com
Izdal: http://www.softraja.com
Izdajatelj:
E = info@softraja.com
CN = http://www.softraja.com
OU = Pisarna
O = Softraja
L = Dnevna soba
S = Doma
C = SI
Velja od: torek, 19. september 2006 20:35:56
velja do: sreda, 19. september 2007 20:35:56
ID ključa=52 8c 9b 08 a6 eb 8d a4 fc 89 77 1a 4d 3b f3 a8 e9 17 09 95
Izdajatelj certifikata:
Naslov imenika:
E=info@softraja.com
CN=www.softraja.com
OU=Pisarna
O=Softraja
L=Dnevna soba
S=Doma
C=SI
Serijska številka certifikata=00
Opombe:
Ta izhodiščni certifikat certifikatnega urada ni zaupanja vreden, ker ga ne vsebuje shramba zaupanja vrednih certifikatov.
Varnostni certifikat je izdalo podjetje, ki ga niste izbrati za zaupanja vredno..
ja odvisno kako in kje gledaš, jaz sem ti pa naredil cut/paste direktno iz
apache datotek:
-rw——- 1 root root 1302 sep 19 21:37 server.crt
-rw——- 1 root root 887 sep 19 21:41 server.key
no – kaj sedaj
[root@tower ssl.key]# more server.crt
—–BEGIN CERTIFICATE—–
MIIDlTCCAv6gAwIBAgIBADANBgkqhkiG9w0BAQQFADCBlDELMAkGA1UEBhMCU0kx
DTALBgNVBAgTBERvbWExFDASBgNVBAcTC0RuZXZuYSBzb2JhMREwDwYDVQQKEwhT
[root@tower ssl.key]# more server.crt
—–BEGIN CERTIFICATE—–
MIIDlTCCAv6gAwIBAgIBADANBgkqhkiG9w0BAQQFADCBlDELMAkGA1UEBhMCU0kx
DTALBgNVBAgTBERvbWExFDASBgNVBAcTC0RuZXZuYSBzb2JhMREwDwYDVQQKEwhT
No hotel sem samo povedati, da se običajno pri certifikatih pri varni povezavi(https://) in comon name(CN) neuporablja www v imenu.
mah saj to vem – ampak to sem kreiral za sebe, ravno zato, kar ti sedaj
gledaš – kaj se zgodi če je kaj narobe napisanega v Linux-u
Pa še eno vprašanje-preden se lotim tvojega private ključa:))) če si testni certifikat izdelal z orodjem makecert.exe ali si :
1.)Privatni ključ (pravzaprav par ključev)izdelal kar s tem orodjem?
2.)Če si za generiranje uporabil openssl.exe ali si potem lahko ta ključ naredil z makecert.exe in je delovalo?
3.)Ali pa si mogoče uporabil kakšno drugo orodje naprimer puttygen….itd in ali potem v tem primeru zgenerirani ključ lahko shraniš v pfx datoteko z makecert.exe
4.) Ali si že kdaj uporabil orodja pvkimport.exe in pvk2pfx.exe, kako se obneseta v praksi?
ker sem narobe prejle napisal:
[root@tower ssl.key]# more server.key
—–BEGIN RSA PRIVATE KEY—–
MIICXAIBAAKBgQDO1UysVGyQTsqyxPMNrVovazLZcFsFf3B3M5ydsAxiwqOuI76L
a2YtfVwNoO6PJnCe8CKcp37yRChcMCgMiGi8FKF+FH2sX774ZR3xzEA+KS43pKAm
heh, še en windows uporabnik kajneda. Lepo sem napisal, da sem
čaral v Linux okolju – torej tam ni makecert.exe datoteke.
ja uporabil sem makecert in seveda dela brez problema..
seveda je potrebno na koncu prekopirati datoteki tja, kamor zna apache
“pogledati”.
Pa še ena mala skrivnost (sem mislil, da si jo odkril, pa si padel na vsej
črti :)))
če imaš privatni ključ potem apache vedno ko se servis zažene zahteva
vnost privatnega ključa.
torej spletni strežnik NE dela, dokler tega ne vpišeš.
Edina varianta, ki si ostane, je da privatni ključ “vržeš” ven, da apache ne teži s tem in se lepo avtomatsko starta, brez da bi jaz moral kaj tipkariti
navsezgodaj brez kave (si moreš misliti kako je to stresno
openssl tudi dela, s puttygenom pa še nisem doktoriral
Ali je bilo že dovolj vprašanj?:)))
No sedaj pa res čisto zadnje vprašanje:
Če ti zjutraj pošljem tvoj privatni ključ do bita natančno ali daš v Kamnu za pir? Pa ne mislit da se hecam! 
No drugače bi se pa bilo verjetno zanimivo s tabo tudi v živo pogovarjat, no jaz sicer nimam veliko računalniškega znanja, ker se poklicno ne ukvarjam z računalništvom ampak vseeno hehe…
pa lahkoooonoč vsem….
Post sem začel pisati prej, kot sem prebral tvojega v katerem si napisal, da si čaral v Linuxu, to bi pa že vedel ja da tam ni .exe :)))
Forum je zaprt za komentiranje.