Re: The certificate is not trusted because it is self signed.
Nicholas -> debian-russian@lists.debian.org @ Sat, 13 Sep 2008 22:34:40 -0400:
N> Броузер стал часто ругаться:
N> The certificate is not trusted because it is self signed.
N> Видимо пришло время переделывать и собственные сертификаты.
N> Возник вопрос - как теперь правильно делать сертификаты, при условии что CA
N> все-таки свой (И никем чужим не подписанный).
N> Надо ли сделать self signed которым подписать еще один или цепочка далжна быть
N> длиннее ?
N> Должны ли они быть из разных доменов ?
Сертификат CA должен быть отдельно, сертификат сервера - отдельно.
Сертификат CA будет self-signed, и его надо установить в доверенные
вручную. Ну, в смысле, браузером всосать сертификат, проверить
fingerprint и установить.
Сертификат сервера можно подписывать сертификатом CA. Более длинную
цепочку для себя делать не имеет смысла.
Из разных доменов они быть не обязаны, но вообще в сертификате CA домену
делать нечего - CA, в отличие от веб-сервера, сущность не доменная.
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
If it's there and you can see it---it's real
If it's not there and you can see it---it's virtual
If it's there and you can't see it---it's transparent
If it's not there and you can't see it---you erased it!
IBM poster explaining virtual memory, circa 1978
Reply to: