Re: The certificate is not trusted because it is self signed.

[Artem Chuprina <ran@ran.pp.ru>]

Nicholas -> debian-russian@lists.debian.org  @ Sat, 13 Sep 2008 22:34:40 -0400:

 N> Броузер стал часто ругаться:
 N> The certificate is not trusted because it is self signed.

 N> Видимо пришло время переделывать и собственные сертификаты.
 N> Возник вопрос - как теперь правильно делать сертификаты, при условии что CA
 N> все-таки свой (И никем чужим не подписанный).
 N> Надо ли сделать self signed которым подписать еще один или цепочка далжна быть
 N> длиннее ?
 N> Должны ли они быть из разных доменов ?

Сертификат CA должен быть отдельно, сертификат сервера - отдельно.
Сертификат CA будет self-signed, и его надо установить в доверенные
вручную.  Ну, в смысле, браузером всосать сертификат, проверить
fingerprint и установить.

Сертификат сервера можно подписывать сертификатом CA.  Более длинную
цепочку для себя делать не имеет смысла.

Из разных доменов они быть не обязаны, но вообще в сертификате CA домену
делать нечего - CA, в отличие от веб-сервера, сущность не доменная.

-- 
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru

If it's there and you can see it---it's real
If it's not there and you can see it---it's virtual
If it's there and you can't see it---it's transparent
If it's not there and you can't see it---you erased it!
	IBM poster explaining virtual memory, circa 1978