Forum » Pomoč in nasveti » uvažanje certifikatov na nov računalnik
uvažanje certifikatov na nov računalnik
slobib ::
Pozdrav!
Pred časom sem zamenjal računalnik, iz starega sem izvozil certifikata za klik(tudi novi ACNLB) in estudent(šolski portal za prijavljanje na izpite). Na novem računalniku sem ju uvozil, naredil vse po postopkih opisanih na straneh NLB. Dobim sporočilo:
Danes se je poskusila sestra prijaviti na svojem računalniku na izpit na nekem drugem portalu s svojim certifikatom in je dobila sporočilo:
Lepo prosim za pomoč, ne vem kaj je narobe, kaj narediti?
Pred časom sem zamenjal računalnik, iz starega sem izvozil certifikata za klik(tudi novi ACNLB) in estudent(šolski portal za prijavljanje na izpite). Na novem računalniku sem ju uvozil, naredil vse po postopkih opisanih na straneh NLB. Dobim sporočilo:
Pri povezovanju z klik.nlb.si je prišlo do napake.
SSL vrstniku pri pogajanju ni uspelo dobiti sprejemljivega nabora varnostnih parametrov.
(Koda napake: ssl_error_handshake_failure_alert)
Danes se je poskusila sestra prijaviti na svojem računalniku na izpit na nekem drugem portalu s svojim certifikatom in je dobila sporočilo:
student.ef.uni-lj.si uses an invalid security certificate.
The certificate is not trusted because the issuer certificate is unknown.
(Error code: sec_error_unknown_issuer)
* This could be a problem with the server's configuration, or it could be someone trying to impersonate the server.
* If you have connected to this server successfully in the past, the error may be temporary, and you can try again later.
Or you can add an exception…
Lepo prosim za pomoč, ne vem kaj je narobe, kaj narediti?
Tomas 33 ::
Kako je s certifikati strežnikov?
Probaj dodati izjemo (add an exception), da dodaš certifikate strežnikov v cert store.
Probaj dodati izjemo (add an exception), da dodaš certifikate strežnikov v cert store.
BBB ::
V drugem primeru je težava na strani student.ef.uni-lj.si, ker so očitno sami zgenerirali in podpisali certifikat. Pri certifikatih je bistveno, da jih podpiše nekdo (pogosto javna organizacija), ki mu zaupajo vsi udeleženci, ki se želijo medsebojno overiti preko teh certifikatov. Ta nekdo se imenuje Certificate Authority (CA) (npr. javni CA VeriSign ali naš Sigen-ca) in mora jamčiti, da je oseba (v splošnem kakršnakoli entiteta, npr. spletna aplikacija), ki si certifikat pridobi, res ta, za katero se izdaja, da je. Za kaj gre v tvojem drugem primeru: Upravitelj aplikacije na spletnem strežniku student.ef.uni-lj.si se je odločil sam uporabnikom jamčiti za verodostojnost strežnika - torej da strežnik ni od koga drugega, npr. od kakšnega nepridiprava, ki preko zavajajočih linkov spelje ljudi na svoj strežnik, ki prikazuje spletne strani skoraj popolnoma enako kot originalni strežnik (govorim o phishingu, tj. ribarjenju). Seveda ti ne moreš vedeti ali je nekdo, ki zgolj sam jamči za svojo identiteto oz. identiteto svojega strežnika dejansko res ta, za kogar se predstavlja, da je. Zato mora zanj jamčiti nekdo, komur zaupaš tudi ti. Zamisli si, da je ta, ki mu zaupaš, tvoj oče - če on potrdi, da je tvoja nova luštna sošolka dejansko tvoja polsestra, potem lahko verjameš, da je to res, ker očetu zaupaš. Če pa je ona edina, ki trdi, da je tvoj sorodnik, pa jo to vprašljivo - nihče ti ne bo z moralizmom oporekal, če jo napičiš.
Jamčenje za identiteto nekoga je pri certifikatih izvedeno tako, da CA kot zaupanja vredna avtoriteta s svojim ključem digitalno podpiše njegov certifikat. Če tvoj brskalnik dobi v roke ta certifikat, enostavno preveri pristnost podpisa CA-ja z uporabo javnega ključa certifikata CA-ja, ki mora biti brskalniku dostopen. Če brskalnik ne uspe ugotoviti, kdo za vraga naj bi bil podpisnik certifikata spletne strani to bodisi ignorira ali pa uporabnika opozori (odvisno od brskalnika). V Firefox so z verzijo 3.x (morda že prej, ne me držat za besedo) zaradi večjega števila zlorab na internetu uvedli preverjanje certifikatov spletnih strani (če se te predstavijo s certifikatom). Ker v tvojem primeru certifikat na strani strežnika student.ef.uni-lj.si ni ustrezno podpisan, uporabnikom ob prijavi na tej stani ta brskalnik teži. Uporabnik težavo reši teko, da ignorira teženje - uporabnik ta certifikat shrani med izjeme in nadaljuje z obiskom strani. To ni varna metoda, je pa delujoča, kar se tiče uporabe spletnih strani. Če se v avtu prižge lučka za olje, je najenostavneje težavo rešiti tako, da jo izključiš, mar ne?
Upam, ti nisem preveč zatežil in da me zato ne boš shranil med nezaželene izjeme.
Jamčenje za identiteto nekoga je pri certifikatih izvedeno tako, da CA kot zaupanja vredna avtoriteta s svojim ključem digitalno podpiše njegov certifikat. Če tvoj brskalnik dobi v roke ta certifikat, enostavno preveri pristnost podpisa CA-ja z uporabo javnega ključa certifikata CA-ja, ki mora biti brskalniku dostopen. Če brskalnik ne uspe ugotoviti, kdo za vraga naj bi bil podpisnik certifikata spletne strani to bodisi ignorira ali pa uporabnika opozori (odvisno od brskalnika). V Firefox so z verzijo 3.x (morda že prej, ne me držat za besedo) zaradi večjega števila zlorab na internetu uvedli preverjanje certifikatov spletnih strani (če se te predstavijo s certifikatom). Ker v tvojem primeru certifikat na strani strežnika student.ef.uni-lj.si ni ustrezno podpisan, uporabnikom ob prijavi na tej stani ta brskalnik teži. Uporabnik težavo reši teko, da ignorira teženje - uporabnik ta certifikat shrani med izjeme in nadaljuje z obiskom strani. To ni varna metoda, je pa delujoča, kar se tiče uporabe spletnih strani. Če se v avtu prižge lučka za olje, je najenostavneje težavo rešiti tako, da jo izključiš, mar ne?
Upam, ti nisem preveč zatežil in da me zato ne boš shranil med nezaželene izjeme.
slobib ::
hvala za pomoč, sicer sem pa dobil idejo in šel še enkrat izvažat-uvažat certifikata in spremenil nekaj nastavitev in dela :)
očitno nisem pravilno uvozil:/
očitno nisem pravilno uvozil:/
-žiga- ::
Imam to težavo, kot jo je imel OP pred dvemi leti :)
Uvozil sem certifikat (ACNLB.crt) in dodal izjemo.
Ko se hočem prijaviti na NLB klik se mi izpiše to:
To napiše v Firefoxu. IE noče prikazati strani v Chromu pa tudi ne dela.
Glede na to, da nikjer ne dela, je očitno nekaj narobe s certifikati.
Uvozil sem certifikat (ACNLB.crt) in dodal izjemo.
Ko se hočem prijaviti na NLB klik se mi izpiše to:
Pri povezovanju z klik.nlb.si je prišlo do napake.
SSL vrstniku pri pogajanju ni uspelo dobiti sprejemljivega nabora varnostnih parametrov.
(Koda napake: ssl_error_handshake_failure_alert)
To napiše v Firefoxu. IE noče prikazati strani v Chromu pa tudi ne dela.
Glede na to, da nikjer ne dela, je očitno nekaj narobe s certifikati.
solatko ::
Če ti nikjer ne dela, si ključ narobe izvozil. Poizkusi še enkrat, če ne bo delalo, boš moral prositi za nov certifikat.
Osebni ključ, ki si ga pravilno izvozil, deluje na vseh računalnikih, če ga pravilno uvoziš.
Osebni ključ, ki si ga pravilno izvozil, deluje na vseh računalnikih, če ga pravilno uvoziš.
Zgodovina sprememb…
- spremenil: solatko ()
Tomas 33 ::
Pri izvozu moraš obkljukati izvozi privatni ključ (.p12 ali .pfx file). Izvozil si samo certifikat z javnim ključem. Če imaš možnost, poskusi še enkrat z izvozom, drugače pa je nov AC NLB certifikat samo 6EUR + drobiž.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | NLB Klik (strani: 1 2 3 )Oddelek: Loža | 23881 (2712) | Tomas 33 |
» | NLB digitalno potrdiloOddelek: Omrežja in internet | 5403 (2564) | bastadu |
» | Firefox mi ne dovoli dostopa do NLB KlikOddelek: Informacijska varnost | 9264 (6567) | Twixz |
» | Problem prijava gov.siOddelek: Pomoč in nasveti | 5295 (5004) | borisk |
» | Firefox 3 in klik nlbOddelek: Programska oprema | 20236 (16055) | solatko |