Попытался зайти на на сайт защищеный сертификатом, он мне пишет что сертифика не устоновлен либо поврежден. Попытался установить но лиса даже файл не видит *.cer.. Фигня какаята...
Какой сайт?
Это по налоговой отчетности без сертификата ты туда все равно не зайдешь((
думаю это все от разработчиков завист...
У меня та же проблема. Не могу залогиниться на сайте aeroflotbonus.ru. Люди, подскажите как сертификат установить, please!
У меня та же проблема. Не могу залогиниться на сайте aeroflotbonus.ru. Люди, подскажите как сертификат установить, please!
Это совсем даже не та-же проблема.
На http://www.aeroflotbonus.ru/ неверно сгенерирован сертификат (насколько я его вижу). И Firefox-у видимо это не всё равно, в отличие от IE.
А к корневому сайту (root authority), выдавшему сертификат, доверие установлено?
А к корневому сайту (root authority), выдавшему сертификат, доверие установлено?
Информации о корневом CA не содержится в сертификате (см. https://www.aeroflotbonus.ru/enroll.aspx, информацию о сертификате через IE).
SOb
Странная ситуация.. Не помогают ни импорт сертификата в CA, ни в Web Sites.. Посмотри описание параметров здесь, может найдётся подходящий..
Люди! Объясните идиоту на пальцах, как в принципе импортировать сертификат? Вот в IE я вижу кнопку Install Certificate. А в FF как это сделать? Кнопкой Восстановить в менеджере сертификатов? Но тогда как и откуда я могу сертификат скачать? И можно ли как-то добавить добавить Aeroflot CA в список корневых CA?
stek
Я установил сертификат в IE, а потом экспортировал сертификат в файл .CER с помощью certmgr.msc, после чего импортировал его в FF.
экспортировал сертификат в файл .CER с помощью certmgr.msc
Sorry, все равно не понимаю, как конкретно использовать certmgr.msc, какой прогой его открывать?
stek
Это стандартная остнастка MMC Certificates. Запускается, соответственно, командой certmgr.msc (Win+R).
Интересно, в Win98 это дело также должно работать? Файл CERTMGR.MSC в папке \system есть, но он ни с чем не проассоциирован и соответственно не запускается 
В Firefox в управлении сертификатами есть кнопка: Импорт.
В Firefox в управлении сертификатами есть кнопка: Импорт.
Где именно? В настройки\дополнительно\упорядочить сертификаты есть кнопка Восстановить. Не про нее ли речь? Если про нее, то это не слишком помогает - когда на нее жмешь предлагается открыть файл сертификата. Но ведь сначала этот файл надо откуда-то скачать...
Мда. Попробуем определиться, кто что откуда и для чего хочет скачать и установить.
При использовании сертификата в работе с сервером возможно два варианта:
a) когда сертификат только у сервера, и
b) когда сертификат есть и у сервера и у вас.
Конечный сертификат — суть некая информация о получателе сертификата (о вас или о сервере), заверенная (подписанная) некой заверяющей организацией.
Сертификат включает также сертификат этой самой заверяющей организации (не конечный сертификат) в свою очередь также заверенный либо самой организацией (т.н. самоподписанный), либо вешестоящей заверяющей организацией и так по цепочке. Организация, стоящая в самом корне получаемого таким образом дерева называется Root Certificate Authority или корневой CA, промежуточная заверяющая организация называется CA. Корневым CA мы должны просто доверять, проверить их мы не можем. Список корневых CA, которым мы доверяем и у которых мы, теоретически, может заверить свои сертифкаты, находится на последней закладке менеджера сертификатов. Например, изветный всем VeriSign.
В случае a), если сервер предъявил корректный сертификат от неизвестной нам заверяющей организации, броузер выдаст предупреждение, но работа может быть продолжена. То-же произойдёт, если срок действия сертификата сервера истёк.
После нажатия всех кнопок OK (мы убедились, мы же верим предъявленному сертификату, что сервер именно тот, за кого себя выдает), устанавливается защищенное соединение и весь обмен данными шифруется.
Случай b) возникает, если сервер желает убедиться, что пользователь именно тот, за кого себя выдает. Нажимать OK на сервере некому, поэтому для успешного установления соединения все проверки пользовательского сертификата должны пройти. Для этого организация, заверившая сертификат пользователя, должна находится в списке доверенных CA сервера. После того, как стороны убедятся, что они те, за кого себя выдают, устанавливается защищенное соединение и весь обмен данными шифруется.
Кроме аутентификации пользователя данные пользовательского сертификата могут использоваться для формирования цифровой подписи.
В общем, для обмена шифрованными данными, используется два ключа шифрования — секретный и публичный. И в случае a) и в случае b), да и вообще всегда, предъявляемые сертификаты содержат только публичный ключ, поэтому, если вы видите сертификат сервера и можете сохранить его на диск, это не значит, что вы можете представиться сервером — секретного ключа у вас нет, а он необходим в процедуре аутентификации.
Т.о. в ситуации с Аэрофлотом мы имеем случай a). Т.е. пользователь никаких собственных сертификатов не имеет и единственное, что он может установить, это сертификат корневого CA Аэрофлота.
В ситуации с Контур-Экстерном имеем случай b). Причем для хранения пользовательского сертификата, операций шифрования и формирования цифровой подписи на электронных налоговых документах (которые через Контур-Экстерн как раз и сдаются) используется CryptoPro и ПО заточенное под IE.
А теперь прошу пересмотреть ваши вопросы.
P.S.: Если файл с сертифкатом имеет расширение cer, crt, pem и является текстовым, то это т.н. формат PEM, если файл имеет расширение cer, crt, der и является бинарынм, то это формат DER, оба формата не содержат секретного ключа и не могут быть использованы для импорта с целью последующей аутентификации.
Файловый формат, который известен Firefox-у, Thunderbird-у, IE и т.п. и содержит полную пару ключей называется PKCS12 и имеет расширение P12 или PFX и обычно защищен паролем, который запрашивается при импорте.
Все сертификаты могут быть импортированы в IE двойным щелчком на файле (забудте про оснастки), в продукты Mozilla через соответствующие разделы настроек.
А плохеет FF из-за 2048 bit RSA key, FF его не поддерживает.
А плохеет FF из-за 2048 bit RSA key, FF его не поддерживает.
Так вот где собака порылась!!!
Поправьте меня если я опять торможу и говорю неправду: раз в сертификате на www.aeroflotbonus.ru использован public key 2048 bit RSA, то в FF мне этот сертификат не установить и на сайт не вылезти никаким способом. Так?
SOb, и все остальные, cпасибо большое за разъяснения
Длина ключа была не при чём.
http://www.aeroflotbonus.ru/ «починили», можете ходить через Firefox!
Ну и ещё: Контур-Экстерн не работает потому, что алгоритмы цифровой подписи в сертификатах — ГОСТ Р 34.11/34.10-2001 не поддерживаются (пока что) в продуктах Mozilla.