Как отменить сертификат snakeoil по умолчанию?

Полная последовательность действий: Ctrl + Alt + T

 sudo apt-get install gnome-tweak-tool
 gnome-tweaks

, затем в окне Keyboard & amp; Mouse -> Additional Layout Options -> Переключение на другой макет

2
задан 17 March 2012 в 07:05

2 ответа

С учетом дополнительной информации, которую вы предоставили, мне, вероятно, легче начать другой ответ.

Не похоже, что фиктивный сертификат «snakeoil» предоставляется клиенту Windows. Сертификат «snakeoil» генерируется с темой CN=Ubuntu, а сертификат, представленный в поле Windows, имеет предмет CN=Production. Итак, мы смотрим на третий сертификат здесь.

Я могу видеть тот же сертификат, если я подключусь к вашему серверу с помощью OpenSSL s_client:

$ openssl s_client -connect portal.avendimedia.com:443
...
Certificate chain
 0 s:/CN=Production
   i:/CN=Production
...

Что я считаю происходит то, что вы настроили свой веб-сервер для использования расширения имени имени сервера. Это расширение предназначено для предоставления сервером разных сертификатов в зависимости от того, к какому имени хоста клиент хочет подключиться.

Это отлично работает в большинстве современных браузеров, но не работает в Internet Explorer в версиях Windows до Vista. На данный момент представляется маловероятным, что Microsoft будет обновлять библиотеки SSL в Windows XP для поддержки расширения SNI.

Если вам нужен ваш сайт для работы с Internet Explorer на XP, посмотрите, можете ли вы удалить ссылки на этот другой хост SSL, работающий на том же IP-адресе, из вашей конфигурации Apache.

6
ответ дан 25 May 2018 в 13:27
  • 1
    Фантастическое объяснение того, что здесь происходит. Бесконечно благодарен! Оказывается, был активен другой хост SSL, просто не явный (добавлен в конфигурационный файл vhost). Глупый глупый надзор с моей стороны ... – John P Bloch 18 March 2012 в 05:08

Сертификат «snakeoil» автоматически генерируется, когда установлен пакет ssl-cert.

Это самоподписанный сертификат, поэтому отзыв его не имеет большого смысла. Вы можете легко создать новый, но:

sudo make-ssl-cert generate-default-snakeoil --force-overwrite

Вам, вероятно, придется перезапустить любую службу, которая использовала этот сертификат, чтобы изменения вступили в силу.

Когда вы скажем, что Windows XP продолжает использовать сертификат, что вы имеете в виду? Если вы сказали своему веб-браузеру на этом компьютере, чтобы он доверял конкретному сертификату snakeoil, созданному вашей системой Ubuntu, было бы просто отменить это доверие в интерфейсе управления сертификатом браузера.

4
ответ дан 25 May 2018 в 13:27

Другие вопросы по тегам:

Похожие вопросы: