Установка Официально Ssl Сертификата

[lmike]

мне не понятно Ваше замечание по поводу ковыряния в реестре.. зачем??? О_О

все винды разные, и поверх какой будет стоять домина - это вопрос, сделать порт-форвартинг можно, но запуск скрипта (для его поднятия) связан с прописыванием в службы..., что влечет за собой опред. телодвижения (в кот. реестр играет не последнюю роль)

Вопрос с шифрацией канала не стоял.. стоял вопрос - как поставить сертификат официальный..
Создание и установка официального сертификата (если знать что нужно его заказывать по sha-1) - занимает 10 минут.
Не нужно искать дистриб, скачивать, искать платформу под установку ngi... линукс короче.., ставить,
изучать, что это такое и с чем его едят в принципе.. любой шаг всторону упирается в попытку к бегству, прыжок на месте - попытка улететь..

гм..., а вы уверены что ssl не связан с шифрованием?
искать дистрибутив... - еще меньше чем настраивать домину под ssl, конечно надо иметь хоть какие-то системные знания для установки дистрибутива
системные в смысле: что такое партишн, Файловая Система, права доступа, пользователи и немного специфики (кот. освещена в офиц. документации и гугле)
дистры: Ubuntu, CentOs
первая - д.б.

Ссылка скрыта от гостей

(Long Term Support)
я больше скажу - человеку не знакомому в виндовс сервером, грамотно настроить его и заставить работать - не тривиальная задача, простой пользователь винды даже при словах IP адрес начнет заикаться


Добавлено: все вышеописанное касается фронт-энда, без наличия кот. наталкиваемся на неисправленные баги/дыры в реализации http/https домины
что может свести на нет наличие ssl

Добавлено: др. словами - если вкрячить ssl сертификат является самоцелью, то можно не задумываясь поступить по описанному вами методу
если интересует работоспособность решения - уже возникают сомнения

 

[swyatogor]

др. словами - если вкрячить ssl сертификат

..
дада.. это и был гавный вопрос топикстартера

Кто нибудь имел опыт установки офф ssl сертификата на domino?

я сделал csr запрос, подтвердил домен, мне пришли 4 файла сертификатов, установил рутовый в бд Server Certificate Admin 3 пункт - Install Trusted Root Certificate Into Key Ring, дальше не могу понять куда остальные девать?

про реестр я говорил в свете стандартной установки лотуса.. поставил и всё воркает.. ни какого реестра..

надо иметь хоть какие-то системные знания для установки дистрибутива
системные в смысле: что такое партишн, Файловая Система, права доступа, пользователи и

очень многа

специфики

от которой иногда подкидывает... начать даже с того, что путь к файлу пишеться не через "\", а "/".. case sensetive и т.д... плюсом даже если ты знаешь, что и как нужно сделать в винде, то даже простая задача выдачи прав делается через ... одно место.. мышой оно проще)) и привычней..
самый просто пример - (забыл как называется в линуксе простейший текстовый редактор) - хрень полная.. а как из него выйти так нуно пол инета обыскать.. пару раз уже просто рвал сессию чтоб от него отвязаться.. и так во всём.. чтобы в чем то разобраться нуно убить туеву хучу времени чтобы заставить работать.. если конечно заставишь - то да тут базара нет - включил и забыл.. но конструктор - сделай сам.. не.. нет столько времени..я уже 22 года на винде.. и переучивать.. это всё равно что пенсионерку к банкомату привести))

простой пользователь винды

простые пользователи тут вроде не шляются))

 

[lmike]

простые пользователи тут вроде не шляются))

а не простой разберется

от которой иногда подкидывает... начать даже с того, что путь к файлу пишеться не через "\", а "/".. case sensetive

т.е. в интернете это, внезапно, не смущает
никогда не задавали себе вопрос - откуда уродские слэши в винде?
т.е. , я так понимаю, ДНС кэйссенситив побоку?
так, на минуточку - виндятка чуть менее чем полностью нарушает все используемые стандарты и врядли это может быть нормальным или логичным

Ссылка скрыта от гостей

чисто админские задачи просто решаемые в никсах, в винде - жуткийад:

• настройки пакетного фильтра
• вызов удаленных команд и получение результата
• массовое развертывание систем
• управление обновлениями приложений (без мастеров и прочей хрени)
• контейнерная изоляция (читать
  Ссылка скрыта от гостей
  )
• маршрутизация
• Ссылка скрыта от гостей
• скрипт в виде сервиса (службы)
• перенос на новое железо

...

нет цели агитировать за "красную армию",

мышой оно проще)) и привычней.

- не более чем иллюзия

 

[swyatogor]

чисто админские задачи просто решаемые в никсах, в винде - жуткийад:
настройки пакетного фильтра
вызов удаленных команд и получение результата
массовое развертывание систем
управление обновлениями приложений (без мастеров и прочей хрени)
контейнерная изоляция (читать LXC)
маршрутизация
bounding
скрипт в виде сервиса (службы)
перенос на новое железо

конечно разберусь нуно будет.. вот только, на первый взгляд, в винде быстрее разберусь, так как половину знаю как делать)
Тоже ни за что не агитирую.. просто решил поставленную задачу в лоб.. не ища легких путей)
понятно, что на каждую хитрую задачу найдется винторез с хитрым патроном)) но по мне так у каждой системы есть своя ниша для применений.. например мой postfix стоит на центосе и не жужжит. винда бы, мне кажется, давно рухнула.. за то всё остальное чисто пользовательское ПО, необходимое мне работает на винде (дада.. я знаю что можно запустить его на линуксе - но это очередной костыль)

 

[lmike]

.я уже 22 года на винде..

винду знаю в 89 года, т.е. со второй её реинкарнации
активно прогал под в32 (с 95), занимался установкой 3.1 (розлива уже NT, не путать с параллельной версией виндоподелия) - это полный пиндец, ставил и 3.0, 3.1, 3.11 (не NT), устанавливали мастдай (3.5), ну и далее по списку.
Всегда это был гимор и куча неоднозначностей, учитывая зоопарк из интерфейсов и "ядер"
параллельно устанавливал и OS/2 от 2.0 до 4.x, solaris 2.6 ...
единственный момент, где винда "выигрывала" - это юзеровая графика, ибо драйвера под др. системы тупо не писали (вернее - только под специфичные видюхи), учитывая монополию (кот. ИБМ сама и создала для МС), если

Ссылка скрыта от гостей

и уж коле мы говорим именно о сервере - то его работоспособность ухудшится, если там запускать "юзеровые" программы
на а про дыры в ssl, полагаю, наслышаны и так

 

[swyatogor]

Ну вот.. а я работал всё это время только с виндой.. других не видел и не смотрел (не нужно было)..
Поэтому при попытке что то сделать на линуксе чувствую себя как слепой котенок.. тыкаюсь, знаю что хочу.. а как не знаю..
также как и писать на java xpage)).. а про дыры не не слышал - тож не было надобности..

 

[lmike]

ну как-то так

Ссылка скрыта от гостей

и если с ОСС все решат, то с проприетарью - вопрос (хотя и ишак и опера поддерживают TLS > 1.0), а вопрос в реализации, кот. "скрыта"

Добавлено: ну конкретно про домину

Ссылка скрыта от гостей

на подумать

 

[lmike]

про nginx

Ссылка скрыта от гостей

убрать к бененой маме SSL v3 (оставить только TLS) ну и дождавшись мозилы и хрома - отрубить и TLS v1

 

[lmike]

кстати можно вывешивать банер на "старые" браузеры, т.к. современные релизы хрома и ФФ поддержвают TLS 1.2
а УЁ подерживает с 8-ой версии 1.1

 

[lmike]

во, прям по теме

Ссылка скрыта от гостей

 

[lmike]

про SHA-2

Ссылка скрыта от гостей

(ссылка встречается)
но проблему взлома это не решает

 

[lmike]

упреждая желание все-таки использовать доминошный механизм для SSL

Ссылка скрыта от гостей

 

[swyatogor]

ну и ни чего страшного.. поставил сертификат, которому еще воркать и воркать два года.. за два года то я полагаю IBM сподобиться на какое-нить обновление..

 

[lmike]

SSL 3.0 как "лечить" будете? ведь браузеры его прекратят поддерживать гораздо раньше

 

[swyatogor]

официально заявленная дата отмены 01,01,2016.. так что... ни как.

 

[lmike]

вы

Ссылка скрыта от гостей

?

 

[swyatogor]

то что никак?? - да)))
Для нашей конторы не критично даже если кто-то чего то там и поломает.. даже если это кому-нить и нужно.. больше половины (чуть не все) работают с паролями типа 1 или 12345678.. и сколько бы я их не пинал.. ни кто не шевелиться.. для мясоперерабатывающего предприятия наверное это не критично..))

 

[rinsk]

Оперативненько для ИБМ:

Ссылка скрыта от гостей

 

[lmike]

прикольно

Ссылка скрыта от гостей

т.е. они генерацию не допилили еще

 

[rinsk]

Ну допилят наверное генерацию - но все равно мое имхо, что на фронт-энд надо ставить SSL\TLS proxy. Причем очень желательно что бы он обеспечивал работу других протоколов - IMAP\POP3\SMTP\LDAP\etc... мне посоветовали подергать haproxy . бонусом является поддержка балансировки не HTTP трафика. Кто имеет опыт общения с haproxy ?