Jump to content

SSL TLS 1.3 - не работают сертификаты

dbf_usr

By dbf_usr
in Russian

 Share

Recommended Posts

dbf_usr Advanced Member

dbf_usr

Posted
Posted

Я использую UNIGUI 1.90.0.1556  пришли новые SSL сертификаты и как выяснилось они SSL TLS 1.3.

Центр сертификации утверждает, что они полностью совместимы с SSL TLS 1.2 - при замене вызывают ошибку. Как решить проблему?

 

Link to comment
Share on other sites
dbf_usr Advanced Member

dbf_usr

Posted
  • Author
Posted
18 hours ago, Sherzod said:

Здравствуйте, 

Какую ошибку получаете?

 

17 hours ago, Farshad Mohajeri said:

Hi,

Are you sure your certificate files are valid?

Certificates issued: Comodo - Positive SSL multi-domain

Are there options? I am losing clients.

Есть решение?

Link to comment
Share on other sites
dbf_usr Advanced Member

dbf_usr

Posted
  • Author
Posted
On 12/19/2022 at 8:24 PM, Farshad Mohajeri said:

Hi,

Are you sure your certificate files are valid?

 

On 12/19/2022 at 7:36 PM, Sherzod said:

Здравствуйте, 

Какую ошибку получаете?

Помочь не можете, это я уже понял. Тогда скажите где заказывать SSL сертификаты, которые будут совместимы с вашими компонентами?

Вы же понимаете, что это обязательное условие использование вашего продукта. Если это не выполнимо то и компоненты такие не нужны.

Can you tell me where to order SSL certificates that will be compatible with your components?

You understand that this is a prerequisite for using your product. If this is not feasible, then such components are not needed.

Link to comment
Share on other sites
Sherzod Advanced Member

Sherzod

Posted
Posted
8 minutes ago, dbf_usr said:

Can you tell me where to order SSL certificates that will be compatible with your components?

You understand that this is a prerequisite for using your product. If this is not feasible, then such components are not needed.

"uniGUI is compatible with standard certificates, However you need to convert them to PEM files as instructed in our documents."

Link to comment
Share on other sites
dbf_usr Advanced Member

dbf_usr

Posted
  • Author
Posted
2 minutes ago, Sherzod said:

«uniGUI совместим со стандартными сертификатами, однако вам необходимо преобразовать их в файлы PEM, как указано в наших документах».

root.PEM - это файл  который називається ca-bundle
sert.pem - файл .crt 
key.pem - файл ключа, который не менялся.
Сертификаты: Comodo - Positive SSL multi-domain

Link to comment
Share on other sites
dbf_usr Advanced Member

dbf_usr

Posted
  • Author
Posted
35 minutes ago, Sherzod said:

Через персональный мессенджер я имею в виду...

да, конечно могу

напишите мне в личном сообщении куда Вам их отправить. У меня есть Viber, WhatsApp, Telegram, Signal

Link to comment
Share on other sites
likemike Advanced Member

likemike

Posted
Posted

Try this way:

1. install OpenSSL (https://www.openssl.org/)

2. Create a directory (f.ex. SSL)

3. in this directory put the key.pem, the  *.ca-bundle and the *.crt file

4. Create a batch file with this content: 

REM adapt first line, if you had installed OpenSLL on a different drive/directory
set exepath="C:\Program Files\OpenSSL-Win64\bin\openssl.exe"
ren *.crt certificate.crt
ren *.ca-bundle ca_bundle.crt
%exepath% x509 -in certificate.crt -out cert.pem -outform PEM
%exepath% x509 -in ca_bundle.crt -out root.pem -outform PEM

5. start the batch in the created directory

6. copy all files (except the batch file) to your UniGui project directory.

  • Thanks 2
Link to comment
Share on other sites
dbf_usr Advanced Member

dbf_usr

Posted
  • Author
Posted
13 hours ago, likemike said:

Попробуйте так:

1. установить OpenSSL ( https://www.openssl.org/ )

2. Создайте каталог (например, SSL)

3. в этот каталог поместите key.pem, *.ca-bundle и файл *.crt

4. Создайте пакетный файл с таким содержимым:

5. запускаем пакет в созданном каталоге

6. скопируйте все файлы (кроме командного файла) в каталог вашего проекта UniGui.

Why do it? What is this operation?

Link to comment
Share on other sites
  • 5 months later...
  • 2 months later...
dbf_usr Advanced Member

dbf_usr

Posted
  • Author
Posted

Используется последняя версия компонент на текущий момент.

Удалось запустить проект, но  только при помощи  ISAPI и под IIS.

Вывод:

UNIGUI - не имеет достаточной защищенности по HTTPS, при использовании его в виде ServerStandAlone, поскольку он использует устаревший OpenSSL, который не поддерживает последние версии шифрования и сертификатов. Вы не сможете разрабатывать сервисов работающих в iOS, MacOS - они просто не принимают соединение с старым шифрованием, а ноновое UniGUI не способен. Для продакшина возможно использовать только ISAPI под IIS. Что значительно ухудшает его масштабируемость, Гипер сервер становится просто бесполезен.  Готовьтесь постоянно "передергивать"  IIS, потому что в инструкции по настройке ISAPI под IIS отключена функция перезапуска приложения сервером и оно будет у вас виснут. Если раньше это решалось при помощи Гипресервера, то теперь будете руками перезапускать  IIS, когда к вам начнут звонить ваши клиенты и жаловаться, что сервис не работает. Интересно через сколько обращений они откажутся от вашего сервиса? 

  • Like 1
Link to comment
Share on other sites
  • 3 months later...
x11 Advanced Member

x11

Posted
Posted
On 8/20/2023 at 11:42 AM, dbf_usr said:

UNIGUI - не имеет достаточной защищенности по HTTPS, при использовании его в виде ServerStandAlone, поскольку он использует устаревший OpenSSL, который не поддерживает последние версии шифрования и сертификатов. Вы не сможете разрабатывать сервисов работающих в iOS, MacOS - они просто не принимают соединение с старым шифрованием, а ноновое UniGUI не способен. Для продакшина возможно использовать только ISAPI под IIS. Что значительно ухудшает его масштабируемость, Гипер сервер становится просто бесполезен.  Готовьтесь постоянно "передергивать"  IIS, потому что в инструкции по настройке ISAPI под IIS отключена функция перезапуска приложения сервером и оно будет у вас виснут. Если раньше это решалось при помощи Гипресервера, то теперь будете руками перезапускать  IIS, когда к вам начнут звонить ваши клиенты и жаловаться, что сервис не работает. Интересно через сколько обращений они откажутся от вашего сервиса? 

кошмар 😒

Link to comment
Share on other sites
Kos Newbie

Kos

Posted
Posted

пробуйте web server c поддержкой TLS 1.3 используя proxy_pass на http://127.0.0.1:8080 (или любой другой ip и port HyperServer без SSL)

в итоге общение клиента с веб серверном через TLS 1.3 + преимущества UniGUI HyperServer с обновлением и перезупуском узлов

Link to comment
Share on other sites
x11 Advanced Member

x11

Posted
Posted

я воспользовался єтой инструкцией

https://habr.com/ru/articles/352722/

вьіполнил 4 командьі

Quote

openssl genrsa -out rootCA.key 2048

openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 10024 -out rootCA.pem

openssl req -new -newkey rsa:2048 -sha256 -nodes -keyout device.key -subj "/C=UA/ST=Kh/L=Kharkiv/O=MyOrganization/CN=localhost" -out device.csr

openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days 10024 -sha256 -extfile v3.ext

 

 

On 12/23/2022 at 4:51 PM, Tokay said:

 

Это конвертирует сертификат в формат PEM. Скорее всего он у тебя в другом формате

 

я вьіполнил єту команду, появился в папке еще один файл  cert.pem

On 12/22/2022 at 8:45 PM, likemike said: 
openssl x509 -in device.crt -out cert.pem -outform PEM

 

 

но он точно такой же, как и device.crt, все до единого символа

в чем состоит конвертация?

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...