Какой сайт?

У меня та же проблема. Не могу залогиниться на сайте aeroflotbonus.ru. Люди, подскажите как сертификат установить, please!

А к корневому сайту (root authority), выдавшему сертификат, доверие установлено?

SOb
Странная ситуация.. Не помогают ни импорт сертификата в CA, ни в Web Sites.. Посмотри описание параметров здесь, может найдётся подходящий..

stek
Я установил сертификат в IE, а потом экспортировал сертификат в файл .CER с помощью certmgr.msc, после чего импортировал его в FF.

Отредактировано djet (27-04-2005 18:41:30)

stek
Это стандартная остнастка MMC Certificates. Запускается, соответственно, командой certmgr.msc (Win+R).

В Firefox в управлении сертификатами есть кнопка: Импорт.

Мда. Попробуем определиться, кто что откуда и для чего хочет скачать и установить.

При использовании сертификата в работе с сервером возможно два варианта:
a) когда сертификат только у сервера, и
b) когда сертификат есть и у сервера и у вас.

Конечный сертификат — суть некая информация о получателе сертификата (о вас или о сервере), заверенная (подписанная) некой заверяющей организацией.
Сертификат включает также сертификат этой самой заверяющей организации (не конечный сертификат) в свою очередь также заверенный либо самой организацией (т.н. самоподписанный), либо вешестоящей заверяющей организацией и так по цепочке. Организация, стоящая в самом корне получаемого таким образом дерева называется Root Certificate Authority или корневой CA, промежуточная заверяющая организация называется CA. Корневым CA мы должны просто доверять, проверить их мы не можем. Список корневых CA, которым мы доверяем и у которых мы, теоретически, может заверить свои сертифкаты, находится на последней закладке менеджера сертификатов. Например, изветный всем VeriSign.
В случае a), если сервер предъявил корректный сертификат от неизвестной нам заверяющей организации, броузер выдаст предупреждение, но работа может быть продолжена. То-же произойдёт, если срок действия сертификата сервера истёк.
После нажатия всех кнопок OK (мы убедились, мы же верим предъявленному сертификату, что сервер именно тот, за кого себя выдает), устанавливается защищенное соединение и весь обмен данными шифруется.
Случай b) возникает, если сервер желает убедиться, что пользователь именно тот, за кого себя выдает. Нажимать OK на сервере некому, поэтому для успешного установления соединения все проверки пользовательского сертификата должны пройти. Для этого организация, заверившая сертификат пользователя, должна находится в списке доверенных CA сервера. После того, как стороны убедятся, что они те, за кого себя выдают, устанавливается защищенное соединение и весь обмен данными шифруется.
Кроме аутентификации пользователя данные пользовательского сертификата могут использоваться для формирования цифровой подписи.
В общем, для обмена шифрованными данными, используется два ключа шифрования — секретный и публичный. И в случае a) и в случае b), да и вообще всегда, предъявляемые сертификаты содержат только публичный ключ, поэтому, если вы видите сертификат сервера и можете сохранить его на диск, это не значит, что вы можете представиться сервером — секретного ключа у вас нет, а он необходим в процедуре аутентификации.

Т.о. в ситуации с Аэрофлотом мы имеем случай a). Т.е. пользователь никаких собственных сертификатов не имеет и единственное, что он может установить, это сертификат корневого CA Аэрофлота.

В ситуации с Контур-Экстерном имеем случай b). Причем для хранения пользовательского сертификата, операций шифрования и формирования цифровой подписи на электронных налоговых документах (которые через Контур-Экстерн как раз и сдаются) используется CryptoPro и ПО заточенное под IE.

А теперь прошу пересмотреть ваши вопросы.

А плохеет FF из-за 2048 bit RSA key, FF его не поддерживает.

Отредактировано SOb (27-04-2005 23:23:29)

Длина ключа была не при чём.
http://www.aeroflotbonus.ru/ «починили», можете ходить через Firefox!