Portál AbcLinuxu, 12. května 2025 18:21

Dotaz: SSL certifikat

25.11.2013 15:48 JoKr
SSL certifikat
Přečteno: 411×
Odpovědět | Admin
Zdravím vespolek,

měl bych na vás dotaz ohledně ssl certifikátu (snad se to trošku sem hodí). Potřebuju udělat důveryhodný web, kde mám spuštěné ftp a nehci aby uživatelům vyskakovala hláška, že server je nedůveryhodný. Proto bych chtěl koupit certifikát od nějaké důveryhodné autority.

Teď k mé otázce. Certifikát se váže na doménu. Moje hlavní doména je www.mojedomena.cz, ale uživatel zadává doménu mojeftp.mojedomena.cz, která ho přesměruje na https://NejakaVerejnaIP:5800/neco/html/login.html. No a teď jsem z toho jelen. Mám si nechat vystavit certifikát na www.metra-su.cz, mojeftp.mojedomena.cz a nebo na https://NejakaVerejnaIP........ ?

Děkuji za radu
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

Jakub Lucký avatar 25.11.2013 16:04 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: SSL certifikat
Odpovědět | | Sbalit | Link | Blokovat | Admin
To záleží, jak se na té doméně bude co provozovat...

Nejlogičtější je pořídit certifikát na jednu doménu 3. řádu, na které všechno poběží (typicky www.domena.tld). A to jde i zadarmo, od StartSSL.

V FTP pak jako "server" pri prihlasovani pouzivat prave tu stejnou adresu (pokud planujete FTP over SSL)
If you understand, things are just as they are; if you do not understand, things are just as they are.
25.11.2013 16:05 Andrej | skóre: 51 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: SSL certifikat
Odpovědět | | Sbalit | Link | Blokovat | Admin

Já používám StartCom Ltd. Člověk může tuto autoritu vyzkoušet zdarma a získat nějaké anonymní certifikáty, což ale nepůsobí příliš profesionálně. Proto si u nich vždycky zaplatím za $60 na rok osobní „validaci“, což je sice pořádná otrava se scanováním dokladů, s telefonováním a s ověřovacím dopisem, ale vyplatí se to, protože pak si člověk může u nich vygenerovat (téměř) neomezený počet osobních certifikátů pro své E-mailové adresy a serverových certifikátů pro weby, Jabber servery a tak podobně. To jsou certifikáty od jejich Level II podautority, které už přece jen mají nějakou rozumnou váhu. Takové certifikáty už nejsou anonymní a v některých vyspělých státech (tedy bohužel ne v České republice) jsou dokonce uznávané pro komunikaci s úřady.

Klíčové je, aby autorita, kterou si zvolíš, byla jak ve standardním seznamu autorit, který spravuje Mozilla a který obvykle mívají v sobě předinstalovaný linuxové distribuce, tak i v seznamu autorit uznávaných jistým béčkovým, avšak rozšířeným operačním systémem. Pak bude uživatelům vše fungovat bez červených varování.

Rozhodně doporučuji nenaletět na experimenty typu cacert.org, které asi tak každý druhý prohlížeč a každý druhý operační systém neuznává. To je pak celé úsilí kolem certifikátu pouhá ztráta času. Totéž platí pro firmy, které z nepochopitelných důvodů dostaly licenci na takzvané kvalifikované osobní certifikáty v České republice. Žádná z nich není v Mozilla seznamu a komerční certifikáty od nich jsou tedy naprosto bezcenné. (Jejich kvalifikované osobní certifikáty sice uznávají české úřady, ale týpek s Thunderbirdem někde v zahraničí uvidí u podepsaného E-mailu zase jen červené varování.)

25.11.2013 16:12 lieko jr.
Rozbalit Rozbalit vše Re: SSL certifikat
Odpovědět | | Sbalit | Link | Blokovat | Admin
alebo si zakupis wildcard certifikat a ten pokryva hlavnu domenu ako aj subdomeny.
26.11.2013 12:26 JoKr
Rozbalit Rozbalit vše Re: SSL certifikat
Super děkuju, ještě mám dotaz.

Při koupi ssl certifikátu se to ptá na platformu, kde mám možnost zadat apache iis nebo ostatní. Má to nějaký větší vliv na certifdikát nebo se jedná o informativní věc. A ještě další věc je potřeba zaslat věřejný klíč (csr). Tento klíč můžu vytvořit kdekoliv kde budu mít nainstalovaný openssl ? Jen tam zadám ty správné údaje jako organizace, domena a další ? Děkuji

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.