Здравствуйте.
Всё вроде бы получилось - при подключении к HTTPS, предлагается принять сертификат.

Но теперь ещё один вопрос:
Чтобы авторизовать клиентов посредством сертификатов, мне нужен доверенный сертификат (CA), чтобы указать его в качестве значения директивы ssl_client_certificate в конфиге nginx-сервера. Обычно он называется ca.crt. Я пробовал использовать сертификат, полученный по заявке, но в таком случае авторизации не происходит.

Добрый день.
Корневой сертификат на алгоритме RSA вы можете скачать по этой ссылке:

web.pki.kz/resources/cer/rsa_root.cer

ugotbug написал:


Здравствуйте. Снова столкнулся с проблемой генерации необходимых ключей и сертификатов, но не могу найти где скачать данную утилиту.
На данный момент у меня имеет .cer-сертификат, скачанный по ссылке с заявкой.
На выходе мне нужно три файла:
1. Сертификат в формате .pem
2. Публичный ключ .key
3. ca.crt (имеется).

Подскажите, пожалуйста, как мне их получить.

Спасибо.

Я так понимаю, что pem - это должен быть сам сертификат, скачанный из НУЦ РК, а .key - приватный ключ. Я нашёл у себя программу nitec_util_request-1.0.jar, генерирую с её помощью p12-файл, чтобы затем из него извлечь приватный ключ, но почему-то при попытке импортировать p12-файл в систему, я получаю ошибку "Указанный файл пуст". Соответственно, не получается экспортировать приватный ключ.

Хоть убей - не помню, как я сделал это в прошлый раз, но если я не ошибаюсь, тогда p12-файл не был пустым.

Подскажите, пожалуйста, как мне получить на основе своего сертификата из НУЦ РК приватный ключ.

Спасибо.

В общем, оставляю для потомков (по большей части - для себя, потому что сам ежегодно ищу эту информацию).

Итак, для использования сертификата от НУЦ веб-сервером, нужны будут как минимум:
- приватный ключ из файла p12 (генерируется при подаче заявки);
- готовый сертификат .cer;
- корневой сертификат НУЦ.

Последовательность такая:
1. Объединяем сертификат и ключ через сервис installcert.html (в архиве ssl_pki.zip). Получаем файл RSA_....p12.
2. На сервере - openssl pkcs12 -in RSA_....p12 -out domain.kz.key -nodes -nocerts (выделяем ключ)
3. Там же - openssl pkcs12 -clcerts -nokeys -in RSA_....p12 -out domain.kz.crt
4. И потом в конфигурации виртуального хоста nginx:
ssl on;
ssl_certificate /etc/nginx/ssl/domain/domain.kz.crt;
ssl_certificate_key /etc/nginx/ssl/domain/domain.kz.key;
ssl_client_certificate /etc/nginx/ssl/domain/rsa_root.cer;

На всякий случай, чтобы я снова не начал искать решение проблемы - ссл-соединение устанавливается до того, как браузер посылает хттп-заголовок и на всех хостах будет один и тот же, если он не wildcard-сертификат. Вот так-то. Удачи мне!

Добрый день. Дает ли сертификат 'зеленую полоску' и название организации в address bar?
И еще, сертификат выдается всем желающим или только госконторам?