Купил за денюшку ssl сертификат. Правильно ли я его создавал, нет ли - может и не надо было вводить при создании PEM pass phrase - хз.

Одно ясно наверняка - теперь на серваке любой процесс использующий при запуске этот сертификат - в интерактивном режиме запрашивает пароль. Дабы не долбать вручную запуск всех сервисов при каждой перезагрузке либо перезапуске сервисов - наваял несколько скриптов на expect типа :

#!/usr/bin/expect
spawn /usr/bin/stunnel -bla blabla
expect "*PEM pass phrase:" {send "passwordn"
        expect -ex "eofr" {return 0}}

via отсюда

C apache почти то же самое - подменил /etc/init.d/apache2 скриптом на expect, который передаёт оригинальному скрипту параметры и ждёт запроса пароля...

Теперь любимый город может спать спокойно. В процессе терзания гугля обнаружились expect подобные библиотеки для python, оставлено "на сладкое". То, что expect при установке тянет за собой tcl - непростительная роскошь.

  deniss @ 22.05.2008 22:18 EET
А простой путь не пробовал ?
Приватный ключ можно конвертнуть из криптованного в плэйн такой вот командой:
openssl rsa -in server.key -out server.key.unsecure

  dik @ 22.05.2008 22:30 EET
Пробовал да тогда не просёк в чём дело...

У меня ещё до сих пор одна ошибочка при тесте есть... Надо будет ковырятью.

А посоветуй плиз какой командой лучше "склеивать" ключи в один файл... Я по бестолковости делал типа
cat file >> cert.pem

  nuakin @ 22.05.2008 22:50 EET
А какой CA использовал и сколько заплатил?

  dik @ 22.05.2008 22:51 EET

~$ openssl s_client -connect myserver.lv:443

CONNECTED(00000003)

depth=3 /L=ValiCert Validation Network/O=ValiCert, Inc./OU=ValiCert Class 2 Policy Validation Authority/CN=http://www.valicert.com//emailAddress=info@valicert.com

verify error:num=19:self signed certificate in certificate chain

verify return:0

Это потому что у меня private key в одной цепочке с сертификатом сервера ?

  dik @ 22.05.2008 23:00 EET
nuakin : godaddy, 29 он типа стоит ну выходит 35$ в год.

Ставил по образу и подобию : http://bloggit.livejournal.com/26595.html

В принципе всё пашет. Не считая ошибки, указанной выше

  nuakin @ 22.05.2008 23:14 EET
Может пригодится на будущее. Вот тут - thawte CA, за $56, если на два года сразу. Мы на webmail сервере используем именно такой. http://www.dotster.com/other/ssl/123

  dik @ 22.05.2008 23:32 EET
nuakin : спасибо, пригодится

  deniss @ 25.05.2008 00:38 EET
Сертификат/ключ - обычный текстовый файл. Так что, cat вполне катит, извините за тавтологию :)
Почитай фак на сайте, обычно требуется поставить несколько сертификатов выдавших в цепочку.
Если что - кидай мыло

  Michael de`OZ @ 27.05.2008 14:48 EET
Люди, а подскажите мануал с желательно пошаговой инструкцией как запустить TLS на sendmail и использованием этих самых CA. Тоесть сам СА я создал, а как дальше его sendmail вставить? там же надо вроде бы клинет-сервер разные ключи. Да и клиентов несколько - других МТА.

  Kolgan @ 20.06.2008 12:42 EET
А SSL ключи бывают бесплатные? Хотябы на временное использование.

  nuakin @ 20.06.2008 12:52 EET
2Kolgan: да, бывают. Создай свой сертификат авторити (CA) и подписывай им все свои сгенеренные сертификаты - и все будет работать столко, сколько пожелаешь. Только в каждом браузере каждому клиенту хотя бы один раз нужно будет разрешить доверять твоему CA точно так же, как и root CA типа Verisign или Thawte.