abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 14:00 | Zajímavý projekt

Byl spuštěn Humble Down Under Bundle. Za vlastní cenu lze koupit multiplatformní hry The Warlock of Firetop Mountain, Screencheat, Hand of Fate a Satellite Reign. Při nadprůměrné platbě (aktuálně 3,63 $) také Hacknet, Hacknet Labyrinths, Crawl a Hurtworld. Při platbě 12 $ a více lze získat navíc Armello.

Ladislav Hagara | Komentářů: 0
dnes 13:00 | Nová verze

Google Chrome 62 byl prohlášen za stabilní (YouTube). Nejnovější stabilní verze 62.0.3202.62 tohoto webového prohlížeče přináší řadu oprav a vylepšení. Vylepšeny byly také nástroje pro vývojáře (YouTube). Opraveno bylo 35 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 1
dnes 11:00 | Zajímavý článek

Článek (en) na Mozilla.cz je věnován vykreslování stránek ve Firefoxu. V průběhu roku 2018 by se ve Firefoxu měl objevit WebRender, jenž by měl vykreslování stránek urychlit díky využití GPU.

Ladislav Hagara | Komentářů: 0
dnes 08:22 | Bezpečnostní upozornění

NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) informuje o zranitelnosti ROCA v procesu generování RSA klíčů, který se odehrává v softwarové knihovně implementované například v kryptografických čipových kartách, bezpečnostních tokenech a dalších hardwarových čipech vyrobených společností Infineon Technologies AG. Zranitelnost umožňuje praktický faktorizační útok, při kterém útočník dokáže vypočítat

… více »
Ladislav Hagara | Komentářů: 1
dnes 01:23 | Zajímavý software

Příspěvek na blogu otevřené certifikační autority Let's Encrypt informuje o začlenění podpory protokolu ACME (Automatic Certificate Management Environment) přímo do webového serveru Apache. Klienty ACME lze nahradit novým modulem Apache mod_md. Na vývoj tohoto modulu bylo uvolněno 70 tisíc dolarů z programu Mozilla Open Source Support (MOSS). K rozchození HTTPS na Apache stačí nově přidat do konfiguračního souboru řádek s ManagedDomain. Minutový videonávod na YouTube [reddit].

Ladislav Hagara | Komentářů: 1
včera 14:15 | Komunita

Daniel Stenberg, autor nástroje curl, na svém blogu oznámil, že obdržel letošní Polhemovu cenu, kterou uděluje Švédská inženýrská asociace za „technologickou inovaci nebo důvtipné řešení technického problému“.

marbu | Komentářů: 9
včera 13:40 | Pozvánky

Cílem Social Good Hackathonu, který se uskuteční 21. a 22. října v Brně, je vymyslet a zrealizovat projekty, které pomůžou zlepšit svět kolem nás. Je to unikátní příležitost, jak představit nejrůznější sociální projekty a zrealizovat je, propojit aktivní lidi, zástupce a zástupkyně nevládních organizací a lidi z prostředí IT a designu. Hackathon pořádá brněnská neziskovka Nesehnutí.

… více »
Barbora | Komentářů: 1
včera 00:44 | Pozvánky

V sobotu 21. října 2017 se na půdě Elektrotechnické fakulty ČVUT v Praze uskuteční RT-Summit – setkání vývojářů linuxového jádra a uživatelů jeho real-time verze označované jako preempt-rt.

… více »
Pavel Píša | Komentářů: 8
16.10. 23:44 | Bezpečnostní upozornění

V Linuxu byla nalezena bezpečnostní chyba CVE-2017-15265 zneužitelná k lokální eskalaci práv. Jedná se o chybu v části ALSA (Advanced Linux Sound Architecture).

Ladislav Hagara | Komentářů: 1
16.10. 22:44 | Komunita

Greg Kroah-Hartman informuje na svém blogu, že do zdrojových kódu linuxového jádra bylo přidáno (commit) prohlášení Linux Kernel Enforcement Statement. Zdrojové kódy Linuxu jsou k dispozici pod licencí GPL-2.0. Prohlášení přidává ustanovení z GPL-3.0. Cílem je chránit Linux před patentovými trolly, viz například problém s bývalým vedoucím týmu Netfilter Patrickem McHardym. Více v často kladených otázkách (FAQ).

Ladislav Hagara | Komentářů: 4
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (18%)
 (0%)
 (0%)
 (3%)
 (73%)
 (8%)
Celkem 40 hlasů
 Komentářů: 1, poslední dnes 11:21
    Rozcestník

    Dotaz: HTTPS - nastavení v ISP Config

    20.7.2016 10:12 perrada
    HTTPS - nastavení v ISP Config
    Přečteno: 416×

    Zdravím,

    rád bych rozběhal https na mé VPS, ale jelikož nastavení conf souborů apache dopadlo tragicky (musel jsem nakonec zažádat o obnovu VPS ze záloh Wedosu :) ), rád bych bezpečnější cestu a rád bych vše nastavil v ISPConfig3. 
    Postupoval jsem dle tohoto návodu:


    https://blog.giuseppeurso.net/free-ssl-certificate-to-ispconfig-website-with-startssl-how-to/

    - Mám přidělenou dodatečnou IP adresu: např. 1.2.3.4
    - SSL certifikátjsme zakoupil u SSLRapid (přes SSLMarket.cz)


    dorazili mi tytosoubory:

    - certificate_nazev.domeny.txt 
    - linux_cert+ca.pem (tam jsou dva certifikáty v text. podobě) 
    - nazev.domeny.cz.key.csr - má část vygenerovaného certifikátu 
    - windows_intermediate.p7b


    V ISPConfig3 jsem dle návodu nakopíroval u patřičné domény tyto certifikáty: 

    SSL Klíč - certificate_nazev.domeny.txt 
    SSL Požadavek - nazev.domeny.cz.key.csr - veřejný klíč 
    SSL Certifikát - linux_certca.pem - druhá certifikát v tomto souboru 
    SSL Bundle - windows_intermediate.p7b


    Po té jsem certifikát uložil, projistotu restartoval apache2 a zkusil jít na adresu: 

    https://nazev.domeny 

    prohlížeč domény mi zobrazil chybu - chybný certifikát. Nevím proč, ale neustále se zobrazuje certifikát Wedosu.

    A když dám přesto pokračovat na stránky (nedůvěryhodné), tak se zobrazí defaultní stránka apache - it's works, nikoliv požadované stránky na doméně. 

    ping ukazuje ze doména je již na nové IP adrese 1.2.3.4 

    Nevíte kde jsem udělal chybu? Opravdu nechci něco podělat znova a byť obnova u Wedosu byla bez problému a byli ochotní, nerad bych toto martýrium podstoupil znova :)


    Řešení dotazu:


    Odpovědi

    20.7.2016 10:36 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: HTTPS - nastavení v ISP Config
    Určitě někde musíte mít uložený privátní klíč patřící k certifikátu, ten vám ve výčtu úplně chybí. Požadavek na vystavení certifikátu tam máte zbytečně, ten webový server nepotřebuje (slouží jenom certifikační autoritě jako žádost pro vystavení certifikátu). Ten odkazovaný návod popisuje postup, kdy žádost o certifikát vytváří přímo ISPConfig. Vy už certifikát máte, takže serveru musíte předat jenom privátní klíč, serverový certifikát (certificate_nazev.domeny.txt) a případně certifikát certifikační autority (linux_cert+ca.pem) – ale HTTPS by muselo fungovat i bez certifikátu certifikační autority, akorát by vám prohlížeč možná psal, že certifikát není vystaven důvěryhodnou autoritou.
    20.7.2016 19:29 perrada
    Rozbalit Rozbalit vše Re: HTTPS - nastavení v ISP Config

    Vy myslíte certifikát který jsem vytvořil pomocí příkazu:

    openssl genrsa -out nazev.domeny.key 2048 ?

    Takže bych měl dát do těch požadovaných polí v ISP Config tyto certifikáty?

    SSL Klíč - certificate_nazev.domeny.txt
    SSL Požadavek - výše uvedený vygenerovaný certifikát?
    SSL Certifikát - linux_cert+ca.pem - druhá certifikát v tomto souboru
    SSL Bundle - windows_intermediate.p7b

    Měl bych ještě dotaz ohledně souboru linux_cert+ca.pem - v tomto souboru jsou dva certifikáty, jaký tam mám nakopírovat?

    Omlouvám se, ale po cca 4 dnech hledání a studování mám už v hlavě bordel... :)

    Jinak problém je, že prohlížeč pořád detekuje certifikát wedosu, nikoliv můj (byť by byl špatně zadaný).

    20.7.2016 20:18 perrada
    Rozbalit Rozbalit vše Re: HTTPS - nastavení v ISP Config
    Tak se omlouvám, nakonec pomohla editace .vhost soubotu pro apache2. Nebylo to nakonec tak slozite ;)

    Jen se potýkám s problémem, že Chrome, Opera mi stránky zobrazí správně - tzn. jako důvěryhodné - certifikát od RapidSSL je v pořádku, kdežto Firefox má s důvěryhodností problém.

    Neví někdo co s tím?
    22.7.2016 01:30 Andrej | skóre: 44 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: HTTPS - nastavení v ISP Config

    Každý prohlížeč umí zobrazit seznam certifikátů (osobních, ostatních lidí, autorit), které má nainstalované ve svém úložišti kryptografických dat. Nezbývá tedy než se ve Firefoxu k příslušnému menu doklikat a zkontrolovat, zda je příslušná autorita nainstalovaná a důvěryhodná.

    Pak to taky může být chybějící článek v řetězci certifikátů. Například má certifikační autorita kořenový samopodepsaný certifikát, který podepisuje certifikáty jejích podautorit a teprve ty podautority podepisují přímo certifikáty zákazníků. Kroků může být i víc. Pak jde o to, jestli se prohlížeči podaří sestavit celý řetězec až k samopodepsanému kořenovému certifikátu autority, který má označený jako důvěryhodný. To se může podařit ze dvou důvodů. Prvním důvodem může být, že jsou certifikáty podautorit (tedy nejen kořenový certifikát) přímo přidané do seznamu důvěryhodných autorit v prohlížeči. Tak by to ale rozhodně být nemělo. Druhým důvodem může být, že webový server při navazování TLS spojení pošle nejen svůj certifikát, ale i potřebný počet dalších článků řetězce (zpravidla jeden další článek), které vedou celou cestu až na krok od kořenového certifikátu. Ten už pak má prohlížeč a může tedy celý řetězec certifikátů ověřit. A takhle by to určitě mělo být.

    Některé SSL konfigurační optiony na jednom z mých webů, jen tak namátkou:

    SSLCertificateFile /etc/httpd/conf/public/some.web.crt
    SSLCertificateKeyFile /etc/httpd/conf/secret/some.web.key
    SSLCertificateChainFile /etc/httpd/conf/public/some.web.chain
    SSLCACertificateFile /var/myawesomeca/ca-cert.pem
    SSLCARevocationFile /var/myawesomeca/ca-crl.pem
    

    Tohle říká, kde je certifikát, kde je k němu příslušný klíč, kde jsou další certifikáty v řetězci, které se mají prohlížeči poslat taky, kde je autorita pro ověřování certifikátů klientů poslaných prohlížečem — protože tohle je web, na kterém funguje autentifikace certifikátem — a konečně revocation list pro ověřování identity klientů toho webu, aby se tam nedalo dostat se zneplatněným certifikátem. Zajímavé tady je, že certifikáty, kterými se prokazuje server, jsou od jiné (veřejné) autority než je ta (soukromá), jejíž certifikáty server vyžaduje po klientech. To jen na vysvětlenou; ne že by to bylo až tak podstatné. Podstatný je ten chain, ve kterém je „intermediate“ certifikát podautority té veřejné autority, aby se prohlížeč dopočítal až ke kořeni, který má mezi důvěryhodnými certifikáty.

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    Řešení 1× (MMMMMMMMM)
    20.7.2016 20:37 perrada
    Rozbalit Rozbalit vše Re: HTTPS - nastavení v ISP Config
    Tak mi ve .vhost chybela tato radka, ted vse funguje jak má ;)

    SSLCACertificateFile /etc/ssl/nazev.domeny/linux_cert+ca.pem

    Díky za nasměrovaní a omlouvám se za možná zbytečný příspěvek :)
    20.7.2016 21:36 cold | skóre: 16 | Brno
    Rozbalit Rozbalit vše Re: HTTPS - nastavení v ISP Config
    pokud nemas uplne outdated isp tak je tam na to primo pole v zalozce SSL, jestli to bylo z nejake typicke sablony wedosu (co sem zatim videl tak i doted tam maji tunu spatnych nastaveni a nesmyslu v OS a neverim ze je to nahoda)

    to co ti poslala certifikacni autorita napastujes do tech spravnych poli (key, crt(cert) + intermediate) a nesmi tam byt volne nove radky nebo mezery na konci specialni znaky a dalsi kraviny u kazdeho pole, musi to byt proste presne stejne

    nez si nechas obnovit system ze zalohy tak vetsinou je postup: apache2ctl -t nebo nginx -t to obvykle vypise duvod proc apache nebo nginx neni schopen nastartovat, pak staci smazat symlink na dany vadny vhost a to v
    /etc/apache2/sites-enabled/   nebo 
    /etc/nginx/sites-enabled/
    zkusit to nastartovat
    /etc/init.d/apache2 start   nebo
    /etc/init.d/nginx start
    
    a obvykle to trochu nepresne zapise i do error.logu a syslogu pak v isp opravis dany vhost (domenu) - musis dat aby byl napred neaktivni -> Ulozit, pockat aspon 60 sekund a pak ho znova zapnout

    a to bude asi tak vsechno jo u nginxu je to trochu komplikovanejsi s tema certama kazdopadne UTFG
    admin@linuxsystems.cz
    20.7.2016 21:55 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: HTTPS - nastavení v ISP Config
    Server posílal jenom serverový certifikát, ne i intermediate certifikát CA. Některé prohlížeče ten intermediate certifikát mají a dokázaly si váš certifikát propojit až k důvěryhodné autoritě, Firefox ten intermediate certifikát nemá. Touhle změnou jste to upravil, aby server posílal i intermediate certifikát.

    Dobrá stránka na testování je Qualys SSL Server Test, kde vám to vypíše všechny možné údaje o SSL spojení, i to, jaké certifikáty server posílá - ale především to vyhodnotí bezpečnost (zda se nepoužívají slabé šifry apod.). Ty certifikáty vám vypíše i openssl s_client.
    22.7.2016 01:32 Andrej | skóre: 44 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: HTTPS - nastavení v ISP Config
    …musel jsem nakonec zažádat o obnovu VPS ze záloh Wedosu…

    Doporučuji vytvořit si v adresáři /etc (nebo v jiných adresářích, pokud nějaké nevychované distro má konfiguraci i jinde) Git repository a každou funkční konfiguraci si do ní commitnout. Kromě snadného a rychlého sdílení konfigurací mezi spoustou strojů to pak taky umožňuje hledání v historii, rychlý návrat ke kterékoliv verzi atd. atp. V podstatě není mnoho důvodů ten Git v /etc nemít.

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    22.7.2016 02:24 ttt
    Rozbalit Rozbalit vše Re: HTTPS - nastavení v ISP Config
    etckeeper případně obstará nastavení a automatizaci okolo.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.