SSL на год?

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
Подскажите где и желательно на год и больше можно заверить свой SSL быстро и просто?
 

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
вот никак не могу разобраться как на винде лотусиный сертификат заверить церботом или ещё чем

помню раньше была бесплатная веб морда, куда можно было вставить лотусиный запрос и получить заверенный - было просто и легко
 

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
1) В Базе certsrv.nsf создаю Key Ring
2) Создаю CR
3) Вставляю его сюды -
4) Результат копирую в Key RIng
5) Жмякаю Merge Certificate - получаю ошибку.....

что не так?
 

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
ну же народ, как средствами лотус получить заверенный на шару SSL на год?
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 980
611
BIT
427
@ToxaRat чем тебе прокси помешал?
процесс сертификации у домины ужасен, в современных условиях заниматься таким головняком нет смысла
certbot спокойно обновляет и поддерживает сертификат для ssl
то что ты спрашиваешь - это странный путь. Заверяй сертификат вне домины, если тебе его надо вставлять в домину - СЗБ
есть тулза, для работы с сертификатами, от ИИ, обновленная её реинкарнация поддерживает современное хэширование, НО это не вариант для работы через устаревшую базу в домине.
её зовут ;)


ЗЫЖ такой ощущ - тебя напрочь отключили от интернета и изредка туда пущают ;)
 

Gandliar

Lotus Team
16.02.2004
564
26
BIT
110
Сейчас вот задумался над аналогичной проблемой - надо перевести сайт на лотус сервере с http на https (в первую очередь из за позиций выдачи в гугле).
Думаю приобрести платный сертификат.
Подскажите пожалуйста следующие моменты:
1. Смогу ли я настроить, использовать и продлевать такой сертификат на лотус сервере 8.5.3, либо однозначно надо переходить на 9ку?
2. Правильно ли я понимаю, что для использования ssl мне потребуется отдельный ip адрес для каждого сайта?
3. Правильно ли я понимаю, что стандартная база лотуса и хелп к ней по генерации запроса на сертификат, вставке и продлению сертификата мне уже не помогут и надо использовать прогу keytool ?
4. Если я установлю простейший сертификат, то могу ли я при желании без особых усилий перейти на другой сертификат?
Заранее благодарю!
 

Gandliar

Lotus Team
16.02.2004
564
26
BIT
110
Ну для начала я поставил 9.01.fp10.
И разобрался с видами сертификатов по функциональности и доверию.
И понял, что для ssl понадобится отдельный ip для каждого сайта.
Теперь надо разобраться с генерацией ключа.
Простейший сертификат стоит 15$ на год, заменить его на более крутой или продлить - говорят никаких проблем, аналогично установке.

Платный сертификат отличается тем, что он уже предустановлен в 99% браузерах, кроме самых древних.
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 980
611
BIT
427
1. Смогу ли я настроить, использовать и продлевать такой сертификат на лотус сервере 8.5.3, либо однозначно надо переходить на 9ку?
поддержка SSL более-менее соответ. реалиям только в 9+
2. Правильно ли я понимаю, что для использования ssl мне потребуется отдельный ip адрес для каждого сайта?
есть , они платные (часть перечисленных по ссылке уже не существуют)
3. Правильно ли я понимаю, что стандартная база лотуса и хелп к ней по генерации запроса на сертификат, вставке и продлению сертификата мне уже не помогут и надо использовать прогу keytool ?
да, правильно, если говорим о ср-вах предоставленных ИИ
4. Если я установлю простейший сертификат, то могу ли я при желании без особых усилий перейти на другой сертификат?
что значит простейший? "Переход" между сертификатами = новое создание сертификата
Платный сертификат отличается тем, что он уже предустановлен в 99% браузерах, кроме самых древних.
в современном мире я в этом не уверен, ибо - браузеры (из числа необновляемых) не будут в способности ходить на к-л сайт и накуа такие нужны? ;)
др. словами - платный сертификат - для тех, кто хочет платить ;) или нужен wildcard (хостер и т.п.)
для "нас" обычных людей - бесплатные покрывают большинство потребностей
Теперь надо разобраться с генерацией ключа.
перестаньте цепляться за винду и все проблемы просто исчезнут
под никсы есть туевахуча скриптов, автоматизирующих установку и обновление сертификатов
самый легкий для установки - certbot
если виндядко как хост-платформа (и есть религиозная привязанность к подобной установке) - ставим ХуперВе и в ней, гестом, никса (с nginx, как вариант, в кач-ве http(s) прокси)

---- Добавлено позже ----

@lmike - вон что-то упирается рассказать как єто сделать по простому ;)
для твоих похотелок нет простого варианта ;)
не понимаю чем тебя не устроил от @gsparrow https://codeby.net/threads/domino-web-access-i-sso-pochta-adminka-ssl.33213/post-299989
 
Последнее редактирование:

Gandliar

Lotus Team
16.02.2004
564
26
BIT
110
В общем, сделал по инструкции
Бесплатный сертификат на 90 дней здесь
Если у кого есть вопросы - могу пояснить подробнее.
Заработало, но остались вопросы, как правильно расставить птички в документе настройки веб-сайта в разделе security
может кто прокомментировать как правильно должно быть и почему так ставить?

Заранее благодарю.
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 980
611
BIT
427
настройки веб-сайта в разделе security
упорно не понимаю подхода - сделать все на домине, даже в ущерб сесуриту/устойчивости/скорости, учитывая что она интегрится с проксями.
домина не поддерживает...
по сесуриту - можно сходить , теперь, и проверить свой сайт
про настройку (nginx на винде - зло)

---- Добавлено позже ----

вот моя домина за нжинкс
Посмотреть вложение 15964
причем cipher можно подправить (для к-то старья оставлял RSA)
по протоколам
Secure Renegotiation Supported
Secure Client-Initiated Renegotiation No
Insecure Client-Initiated Renegotiation No
BEAST attack Not mitigated server-side (more info) TLS 1.0: 0xc013
POODLE (SSLv3) No, SSL 3 not supported (more info)
POODLE (TLS) No (more info)
Downgrade attack prevention Yes, TLS_FALLBACK_SCSV supported (more info)
SSL/TLS compression No
RC4 No
Heartbeat (extension) Yes
Heartbleed (vulnerability) No (more info)
Ticketbleed (vulnerability) No (more info)
OpenSSL CCS vuln. (CVE-2014-0224) No (more info)
OpenSSL Padding Oracle vuln.
(CVE-2016-2107) No (more info)
ROBOT (vulnerability) No (more info)
Forward Secrecy With modern browsers (more info)
ALPN No
NPN Yes h2 http/1.1
Session resumption (caching) Yes
Session resumption (tickets) Yes
OCSP stapling Yes
Strict Transport Security (HSTS) No
HSTS Preloading Not in: Chrome Edge Firefox IE
Public Key Pinning (HPKP) No (more info)
Public Key Pinning Report-Only No
Public Key Pinning (Static) No (more info)
Long handshake intolerance No
TLS extension intolerance No
TLS version intolerance No
Incorrect SNI alerts No
Uses common DH primes No, DHE suites not supported
DH public server param (Ys) reuse No, DHE suites not supported
ECDH public server param reuse No
Supported Named Groups secp256r1
SSL 2 handshake compatibility Yes

---- Добавлено позже ----

вот моя домина за нжинкс
Посмотреть вложение 15964
причем cipher можно подправить (для к-то старья оставлял RSA)
по протоколам
для к-то старья оставлял RSA
вспомнил
Java 6u45 No SNI 2 RSA 2048 (SHA256) TLS 1.0 TLS_RSA_WITH_AES_128_CBC_SHA No FS
ведь к домине, если из др. домины - джава будет 6-ая

---- Добавлено позже ----

ОФФ задолбало глючащее автосохранение форума :(
 
Последнее редактирование:
  • Нравится
Реакции: Domino-Designer и Мыш

Gandliar

Lotus Team
16.02.2004
564
26
BIT
110
Спасибо за ответы.
Проверил по ссылке - на 99% все красиво :)

Вложение посмотреть не удалось. Вопрос с галками остается.

По поводу делать на домине и на винде.
Так сложилось, что в жизни работал с виндой и доминой :)
Так сложилось, что лотусисты в нашем городе особо не нужны/либо маленькая зарплата.
Так что приходится зарабатывать на жизнь самостоятельно с виндой и доминой. А все движения в сторону линукса, нжинкса, апача, должны быть как то обоснованы, так как нанять админа, к сожалению, не могу. А самому изучать без серьезной жизненной потребности нет времени. Первично заработать хоть как то денег :) Придумать и опробовать новый проект какой.
Глобализация наступает.

Домино хорошо тем, что на нем очень быстро можно развернуть какие то прототипы и протестить их на работу и монетизацию.
А во когда пойдут деньги тогда можно и разворачиваться :)
Можно разные проекты рассматривать. Огромная посещаемость, маленький профит (например новостной сайт, заработок от банеров), тогда надо видимо и ngins. А можно сделать что то целевое, с не очень большой посещаемостью, но профитом побольше. Тогда вопросы оптимизации станут ребром тогда, когда на них будут заработаны деньги.
Хотя может я заморачиваюсь, недельку повтыкать и резко все оптимизировать можно :)
Вот жизнь заставила с ssl разбираться. Извините, что тут не потеме развел плач Ярославны :)

---- Добавлено позже ----

Посмотреть вложение 15976
Вот хотелось бы понять по пунктам и поставить правильные значения.

Например 1, ставить или нет. Может есть смысл ставить редирект в настройках сайта с 304 кодом, что сайт переехал, а тут нет или и там и там.
как быть с остальными пунктами и какие доводы за :)

---- Добавлено позже ----

Посмотреть вложение 15976
Вот хотелось бы понять по пунктам и поставить правильные значения.

Например 1, ставить или нет. Может есть смысл ставить редирект в настройках сайта с 304 кодом, что сайт переехал, а тут нет или и там и там.Посмотреть вложение 15976

---- Добавлено позже ----

Посмотреть вложение 15976
Вот хотелось бы понять по пунктам и поставить правильные значения.

Например 1, ставить или нет. Может есть смысл ставить редирект в настройках сайта с 304 кодом, что сайт переехал, а тут нет или и там и там.Посмотреть вложение 15977Посмотреть вложение 15976Посмотреть вложение 15977

---- Добавлено позже ----

хотелось бы понять по пунктам и поставить правильные значения.

Например 1, ставить или нет. Может есть смысл ставить редирект в настройках сайта с 304 кодом, что сайт переехал, а тут нет или и там и там.Посмотреть вложение 15977Посмотреть вложение 15976Посмотреть вложение 15977
 
Последнее редактирование:
  • Нравится
Реакции: Domino-Designer

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 980
611
BIT
427
ОФФ задолбало глючащее автосохранение :(
Вложение посмотреть не удалось. Вопрос с галками остается.
вторая попытка ;)
1519206019733.png


---- Добавлено позже ----

на уровне галок - я никогда не пытался разбираться, у меня все делает фронт, к неск. стоками конфига и грузить эту задачу на домину даже в голову не приходит ;)
 

Вложения

  • 1519137241451.png
    1519137241451.png
    8,9 КБ · Просмотры: 636
Последнее редактирование:
  • Нравится
Реакции: Domino-Designer
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!