[FUG-BR] Apache certificados e afins
Patrick Müller
patrickmuller18 em gmail.com
Quarta Junho 3 15:03:11 BRT 2015
Bom, me desculpem se estou fazendo errado, mas é q entrei na lista hj e vi
essa dúvida, q acredito q posso ajudar.
Eu costumo gerar meus certificados com esse passo a passo e não tenho
problemas. Esse passo a passo é um mix de vários tutorias, q infelizmente
não tenho mais as referências.
#openssl genrsa -aes256 -out server.key 2048
#openssl req -new -sha256 -key server.key -out server.csr
# openssl req -new -sha256 -x509 -days 1825 -key server.key -out server.crt
Para não ser necessário o uso da senha na inicialização do serviço o
comando a seguir retira a senha da chave privada.
#openssl rsa -in server.key -out server.key
Cuidado com domínios encriptados, eles podem te passar a falsa impressão de
segurança. Ultimamente tivemos muitos problemas com a biblioteca openssl.
Então dê uma pesquisada sobre heartbleed, poodle e logjam, que foram as
vulnerabilidades mais significativas que tivemos nos últimos meses.
Se seu servidor estiver vulnerável ao heartbleed, atualize-o o quando antes.
Nesse link tem algumas configs de segurança, muito interessantes.
https://weakdh.org/sysadmin.html
Verifique suas configurações de segurança nesse site
https://www.ssllabs.com/ssltest/
Espero ter ajudado.
Galera estou tento problemas para gerar certificados
estou recebendo este erro
[Mon Jun 01 21:49:28 2015] [info] mod_unique_id: using ip addr 127.0.0.1
[Mon Jun 01 21:49:29 2015] [info] Init: Seeding PRNG with 1024 bytes of
entropy
[Mon Jun 01 21:49:29 2015] [error] Init: Unable to read server certificate
from
file /usr/local/etc/apache22/Certs/i805.com.br.crt
[Mon Jun 01 21:49:29 2015] [error] SSL Library Error: 218529960
error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Mon Jun 01 21:49:29 2015] [error] SSL Library Error: 218595386
error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error
Gero meu certifica e chave assim
openssl genrsa -out dominio.key -des3 -rand /dev/random 1024
openssl req -new -key dominio.key -out dominio.crt -outform PEM
Já corri vários howtos e documentação do apache e da openssl
e não consegui fazer esta coisa funcionar ... será meu primeiro
diminio com SSL
************************************************************
**prof. Nilton José Rizzo DEMAT/UFRRJ **
**http://www.rizzo.eng.br ; http://www.ufrrj.br ; **
**http://lattes.cnpq.br/0079460703536198 ; **
************************************************************
Mais detalhes sobre a lista de discussão freebsd