Self-signed certificate

Z Jabber.cz Wiki
Přejít na: navigace, hledání

Kvuli bezpecnosti je vhodne pouzivat zabezpecene pripojeni na server pomoci SSL/TLS, kde je veskera komunikace se serverem sifrovana. Protoze naklady na porizeni certifikatu od nejake zname certifikacni spolecnosti stoji penize, pouziva tento server tzv. Self signed certificate. Ve vecsine klientu staci pri prvnim pripojeni na server na varovani, ze cerifikat serveru je Self signed, odpovedet volbu "Prijmout certifikat"* a klient si cerifikat ulozi do sveho skladu.

Jenomze Psi takovou volbu nema, a proto vetsina lidi, co pouziva SSL spojeni na server ma zapnutou volbu Ignorovat varovani SSL. Jestli se ale nekdo obava Man-in-the-middle utoku, je lepsi si Self signed certifikat serveru pridat rucne medzi korenove certifikaty, ktore pouziva Psi. Tohle bude bohuzel fungovat jenom pro majitele uctu s domenovym jmenem njs.netlab.cz. Aby server vedel, ke kteremu virtualnimu serveru se snazite pripojit, musel by mit pro kazdy virtualni servr vlastni IP adresu (coz je drahe), nebo by se muselo pouzit STARTTLS (coz zatim Psi nepodporuje), nebo by musel pro kazdy virtualni server vytvorit zvlastni port pro sifrovane spojeni (nestandardni reseni - komplikace pro uzivatele).

Certifikat serveru ziskate pomoci prikazu: openssl s_client -connect njs.netlab.cz:5223 -showcerts*. Je to ta cast mezi BEGIN CERTIFICATE a END CERTIFICATE. Potom staci do souboru rootcert.xml (ve FreeBSD je to /usr/X11/share/psi/certs/rootcert.xml) pridat tento certifikat na konec souboru pred </store>:

<certificate> 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 </certificate>

Pozor, data certifikatu musi byt bez mezer, jinak to nebude fungovat (pozn.: ten co to programoval byl prase).

* Z bezpecnostneho hlediska je tohle nebezpecna operace, protoze takhle ziskany certifikat uz muze byt podvrzeny. Nejbezpecnejsi by bylo osobne zajit za spravcem serveru s flash diskem a poprosit ho o nahrani certifikatu. To je vlastne duvod, proc se pouzivaji certifikacni autority a proc ty certifikaty nejsou zadarmo.


Lightbulb.jpg Tento článek na Jabber.cz Wiki touží po jazykové kontrole. Pokud jste znalec svého jazyka, můžete nám pomoci s jeho korekturou.