Комментарии 39
Не вижу варианта
«Используем бесплатный сертификат от StartSSL».
«Используем бесплатный сертификат от StartSSL».
-newkey rsa:4096
спасибо, улыбнуло.
перфоманс уже замеряли?
Стараемся. Честно говоря, под наши задачи оно было несущественно, но даже для более-менее посещаемых сайтов, как мне представляется, затраты CPU с учетом «умений» современных процессоров не будут сильно заметны.
а вы попробуйте выполнить
# openssl speed rsa
Нормально всё, если у тебя не мега-хайлоад проект. В таком случае нужно вообще брать ECC, как лицокнига.
Для корпоративного использования внутри у меня всем генерируется 4096/SHA256 — особенного увеличения нагрузки на SSL-оффлоадерах не замечено. Снаружи тоже 4096.
Для корпоративного использования внутри у меня всем генерируется 4096/SHA256 — особенного увеличения нагрузки на SSL-оффлоадерах не замечено. Снаружи тоже 4096.
какой конфигурации ваши оффлоадеры и сколько реквестов в секунду дают без keepalive?
хайлоад — понятие растяжимое.
хайлоад — понятие растяжимое.
У меня это три виртуальные машины с haproxy в HA-кластере.
Конфигурация там не космическая (xeon E3 v3), но и нагрузки не очень много, поэтому меня устраивает.
Даже на мобильных девайсах проблем не замечено, благо процессоры там нынче как компьютеры лет 7 назад.
А так да, в сырых цифрах 4096 где-то в 6 раз медленнее чем 2048.
Где-то 140 RSA подписей в секунду с ключом 4096.
Конфигурация там не космическая (xeon E3 v3), но и нагрузки не очень много, поэтому меня устраивает.
Даже на мобильных девайсах проблем не замечено, благо процессоры там нынче как компьютеры лет 7 назад.
А так да, в сырых цифрах 4096 где-то в 6 раз медленнее чем 2048.
сколько реквестов в секунду дают без keepalive?
Где-то 140 RSA подписей в секунду с ключом 4096.
Вот сейчас решаем вопрос с выпуском wildcard сертификата.
Вопрос собственно есть — как правильно сформировать CSR с AltNames? И как правильно подписать самоподписанный сертификат, что бы в нём были видны AltNames?
Вопрос собственно есть — как правильно сформировать CSR с AltNames? И как правильно подписать самоподписанный сертификат, что бы в нём были видны AltNames?
В чём собственно проблема
Делали собственные сертификаты, но выяснилось — что бы работал реально wildcard нужно помимо Common Name в AltNames пошаманить.
Когда делали тестовые сертификаты, то указывали так:
Common name = *.mydomain.com
AltNames = DNS.1=*.mydomain.com,DNS.2=mydomain.com,DNS.3=www.subdomain.mydomain.com
Тогда у нас сертификат работает на сам домен, субдомены 3-го уровня
Я пробовал сгенерировать собственный сертификат на основе этого csr, но у меня не получается. В сгенерированном сертификате нет полей AltNames, хотя в csr запросе всё есть.
Проверил на валидность с помощью этого сайта — всё валидно. Поля видны, AltNames видны как положено.
подписываю командой:
openssl x509 -req -days 60 -in _.mydomain.com.csr -signkey rootCA.key -out test_self_signed.crt
Я правильно подписываю? или я что то упустил?
Когда делали тестовые сертификаты, то указывали так:
Common name = *.mydomain.com
AltNames = DNS.1=*.mydomain.com,DNS.2=mydomain.com,DNS.3=www.subdomain.mydomain.com
Тогда у нас сертификат работает на сам домен, субдомены 3-го уровня
Я пробовал сгенерировать собственный сертификат на основе этого csr, но у меня не получается. В сгенерированном сертификате нет полей AltNames, хотя в csr запросе всё есть.
Проверил на валидность с помощью этого сайта — всё валидно. Поля видны, AltNames видны как положено.
подписываю командой:
openssl x509 -req -days 60 -in _.mydomain.com.csr -signkey rootCA.key -out test_self_signed.crt
Я правильно подписываю? или я что то упустил?
Обычно ЦС глубоко пофиг то, что ты в CSR напишешь, они заполняют инфу сами, а из CSR берут только публичный ключ.
Как раз на днях брал wildcard у nic.ru — сделал правильный CSR с subjectAltName и SHA256 — выдали со SHA1, поля в Subject другие, да и SAN другой. У Thawte вроде немного иначе, но не факт что всегда.
А так, чтобы работал вайлдкард SAN не нужен — он нужен только для того чтобы работал урл вида domain.ru т.е. без субдоменов. Т.е. достаточно subjectAltName=domain.ru и всё.
Да, сертификат подписывать нужно через openssl ca ..., а не openssl x509, поэтому у тебя проблемы.
Как раз на днях брал wildcard у nic.ru — сделал правильный CSR с subjectAltName и SHA256 — выдали со SHA1, поля в Subject другие, да и SAN другой. У Thawte вроде немного иначе, но не факт что всегда.
А так, чтобы работал вайлдкард SAN не нужен — он нужен только для того чтобы работал урл вида domain.ru т.е. без субдоменов. Т.е. достаточно subjectAltName=domain.ru и всё.
Да, сертификат подписывать нужно через openssl ca ..., а не openssl x509, поэтому у тебя проблемы.
Понял спасибо.
Сделал через CA, но в сертификате всё равно SAN не отображено.
Сделал через CA, но в сертификате всё равно SAN не отображено.
Обычно ЦС глубоко пофиг то, что ты в CSR напишешь, они заполняют инфу сами, а из CSR берут только публичный ключ.
Зависит от CA, тоже недавно заказывал сертификат через nic.ru — после заполнения их формы пришла ссылка на аналогичную на сайте GeoTrust. Поля прописали как в форме.
У нас так и задавалось:
Common name = *.mydomain.com
притом больше ничего, в т.ч. и AltNames, не требовалось. Думаю, Вы немного не то пытаетесь сделать: если правильно вспоминаю, вам нужно делать не openssl x509, а openssl req x509
А 60 дней — это у вас такие интересные требования, или просто тренируетесь? )
Common name = *.mydomain.com
притом больше ничего, в т.ч. и AltNames, не требовалось. Думаю, Вы немного не то пытаетесь сделать: если правильно вспоминаю, вам нужно делать не openssl x509, а openssl req x509
А 60 дней — это у вас такие интересные требования, или просто тренируетесь? )
Заказываю, через gogetssl.com можно оплачивать webmoney да и цены самые низкие (на RapidSSL или PositiveSSL). Там просто есть кнопочка Reissue SSL, выбираешь что тебе нужен SHA-2 подтверждаешь владение сайтом на мыло или файлом на сервере.
Не давно без проблем пере выпустил сертификат с SHA-2 у ISPSystem, обратился с просьбой о пере выпуске в тех поддержку, сказали что отправят запрос и на почту администратора сертификата придет новый, так и получилось.
P.S. Сертификат от Comodo
А это яркий пример жадности не которых фирм…
P.S. Сертификат от Comodo
А это яркий пример жадности не которых фирм…
Да тут даже не жадность — тупо час времени разобраться и списаться с техподдержкой выпускающей сертификат стороны. Да и то, списаться надо один раз, а перевыпуск потом будет прост и незатейлив. Зато клиента бы не потеряли, как ни крути — явно я к ним второй раз не пойду. И я так думаю, не мы одни такие.
Свиньи эти webnames.
Они у апстрима сейчас получат кучу сертификатов бесплатных, а с клиентов деньги возьмут…
Они у апстрима сейчас получат кучу сертификатов бесплатных, а с клиентов деньги возьмут…
Написать апстриму? )
С точки зрения вебнеймсов, ситуация не критическая — мне ответили, дословно:
Chrome (а текже и другие браузеры) вполне считает купленные через нас сертификаты безопасными.
Мне думается, вопрос не в деньгах, а в том, что автоматические скрипты дописывать, чтобы происходил перевыпуск сертификатов, им лень (= время/деньги, а прибыли нет), в то время как продажа нового сертификата произойдет теми же скриптами, что есть, а денег принесет.
С точки зрения вебнеймсов, ситуация не критическая — мне ответили, дословно:
Chrome (а текже и другие браузеры) вполне считает купленные через нас сертификаты безопасными.
Мне думается, вопрос не в деньгах, а в том, что автоматические скрипты дописывать, чтобы происходил перевыпуск сертификатов, им лень (= время/деньги, а прибыли нет), в то время как продажа нового сертификата произойдет теми же скриптами, что есть, а денег принесет.
> Chrome (а текже и другие браузеры) вполне считает купленные через нас сертификаты безопасными.
До поры до времени.
Надеюсь, они хотя бы клиентов уведомили о том, что сертификаты нужно перевыпустить.
> им лень
Вот я и говорю, животные =)
До поры до времени.
Надеюсь, они хотя бы клиентов уведомили о том, что сертификаты нужно перевыпустить.
> им лень
Вот я и говорю, животные =)
Да ладно — «собаки брешут, караван идет». Мы разобрались, многие бы тут на Хабре тоже разобрались, а ведь иные конторы и заплатят по второму кругу.
Уведомлять? Что вы, зачем, не было этого. Но ладно SSL, это мелочи на фоне мировой революции, но я у них много лет на NS-ах держал домен, так вот один из их NS-ов регулярно был недоступен, что, конечно, скорости работы домену не добавляло. На вопрос, что да как, мне отвечали, помнится, что о проблеме знают, сервер и правда пропадает порой со связи, но у них же серверов несколько. Проблема, напомню, висела годами!
Уведомлять? Что вы, зачем, не было этого. Но ладно SSL, это мелочи на фоне мировой революции, но я у них много лет на NS-ах держал домен, так вот один из их NS-ов регулярно был недоступен, что, конечно, скорости работы домену не добавляло. На вопрос, что да как, мне отвечали, помнится, что о проблеме знают, сервер и правда пропадает порой со связи, но у них же серверов несколько. Проблема, напомню, висела годами!
Мда уж)
Мало того, что вы их назвали словом нехорошим, так еще и сократили его творчески :)) Так сказать, «редиски уж».
Да нет, у меня просто слов нет =)
Хотя, может быть, я уже сильно привык к оплаченному в StartSSL Class 2-иденту, который позволяет мне не задумываться о том, какой сертификат когда обновлять и по какой причине =)
Хотя, может быть, я уже сильно привык к оплаченному в StartSSL Class 2-иденту, который позволяет мне не задумываться о том, какой сертификат когда обновлять и по какой причине =)
Да, бизнес-модель у них очень привлекательная для клиентов :)
Кстати, при проверке Class 2 количество Wildcard-сертификатов (не связанных между собой никак) также неограниченное?
Кстати, при проверке Class 2 количество Wildcard-сертификатов (не связанных между собой никак) также неограниченное?
Количество сертов — нет.
Количество wildcard-ов в одном сертификате ограничено openssl-ем.
Только надо иметь в виду, что каждый домен должен быть зарегистрирован на вас (ну или на private person =))
Количество wildcard-ов в одном сертификате ограничено openssl-ем.
Только надо иметь в виду, что каждый домен должен быть зарегистрирован на вас (ну или на private person =))
Она и самая честная. Провайдеры сертификатов стыдливо обходят вопрос о том, что цена идет за: за понт, за «доверие», за поддержку браузерами и серверами. Но что толком они не за что не отвечают — это как бы скромно маскируется фразой про «гарантии» и «страховку».
Так что взять деньги за проверку, что я — это я, а моя компания такая-то — это честно, и далее выдавать на эти данные сертификаты без особых лимитов — тоже честно (нагрузка-то — генерация цепочки байтов, пшик!). А когда «гранды» просят сотни и тысячи долларов за каждый сертификат, даже если я их на себя же регистрирую — это, как и продажа доменов (особенно в высосанных из пальца TLD), «много денег из ничего».
Чем Регтайм отлично умеет зарабатывать, как мне думается. Сходится!
Так что взять деньги за проверку, что я — это я, а моя компания такая-то — это честно, и далее выдавать на эти данные сертификаты без особых лимитов — тоже честно (нагрузка-то — генерация цепочки байтов, пшик!). А когда «гранды» просят сотни и тысячи долларов за каждый сертификат, даже если я их на себя же регистрирую — это, как и продажа доменов (особенно в высосанных из пальца TLD), «много денег из ничего».
Чем Регтайм отлично умеет зарабатывать, как мне думается. Сходится!
Когда бы их продавали в России за рубли с бумагами — цены бы им не было!
Сожалеем, что автору статьи не удалось достичь взаимопонимания со специалистом нашей технической поддержки. На тот момент сотрудник не был должным образом проинструктирован об алгоритме получения (перевыпуска) SSL-сертификата. Разъяснительная работа с персоналом проведена, разработан регламент для решения подобных вопросов пользователей. До конца недели мы уведомим всех клиентов, которые могут столкнуться с аналогичной проблемой. Благодарим Вас за помощь.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Перевыпускаем сертификат с SHA-2 — если Webnames не идет к Магомету…