Posted Fri 13 Jan 2012 01:01:01 PM CET
ca

SSL/TLS tanusítvány igénylés (egy lehetséges) menete

Egy kollegának volt szüksége erre. Gondoltam akkár már jobb ha kirakom a blogomra, mintha csak email-t írnék. A 2010-03-26 -i belső PPKE dokumentáció alapján PPKE-s ssl tanusítvány igénylésre készült. (NIIF - terena ca segítségével.)

Fogalmak

  • Private key: Maga a titkos kulcs. Ezt csak magán a szerveren (esetleg saját gépen) legyen meg. Ne küldjük el senkinek ne kerüljön ki a szerverről!
  • csr: Aláírási kérelem ez a private key-jel együtt jön létre. Nyilvános, a tanusítvány aláírásához erre van szükség.
  • cert: Maga a tanusítvány ami igazolja, hogy a private kulcs a mienk. (Pontosabban, hogy az adott private key az adott szervezet valamilyen szerveréhez tartozik.) A private keyt őrizzük a többit bárki megkaphatja/olvashatja.

Technikai lépések

Letölteni az openssl csomagot http://www.openssl.org/related/binaries.html

openssl req -batch -config servername.config
 -newkey rsa:2048 -out servername_csr.pem

Íme a servername_csr.pem

HOME                    = .
oid_section             = new_oids
[ new_oids ]
[ req ]
default_days            = 365            # how long to certify for
default_keyfile         = servername_privatekey.pem
distinguished_name      = req_distinguished_name
encrypt_key             = no
string_mask = nombstr

[ req_distinguished_name ]
0.commonName              = Common Name (eg, YOUR name)
0.commonName_default      = servername
0.commonName_max          = 64

countryName                     = Country Name (2 letter code)
countryName_default             = HU
countryName_min                 = 2
countryName_max                 = 2

0.organizationName              = Organization Name (eg, company)
0.organizationName_default      = write-YOUR-ORGANIZATION-here

Linux esetében a fenti fájlokat felhasználva bekonfigurálható a webszerver, ez elég jól dokumentált.

Windows esetében még szükséges

openssl pkcs12 -inkey servername-privatekey.pem
 -in az-niif-tol-letoltott.pem -name "write-YOUR-ORGANIZATION-here server certificate"
 -certfile terena.pem -caname "Terena CA" -export
 -out servername-all.pfx

terena.pem

Ezt szereti a IIS Certificate Wizardja.

Posted Fri 13 Jan 2012 12:39:13 PM CET Tags:

Random RT hack

There is a separate entry for the RT hack I made last night: poller-script

Posted Tue 07 Jun 2011 07:55:10 PM CEST Tags:

Long time no see

Yes I am here and still alive. :-) I have not got enought time to blog in the recent years. But that will change. I will allocate some time for this.

It is fun. It is interesting and potentially it can give back some value. (I got and still get many things from the OS community and collegues etc.. it is my turn.) Recently I joined twitter and I see the potential...

Be warned my posts sometime will be random, maybe they will make no sense, but I do not care. It will evolve...

Posted Tue 07 Jun 2011 05:16:38 PM CEST Tags:

Online feltöltés... biztosan jól meggondoltad?

Ez a PPO portál egyszerűen óriási! Tessék felkészülni, komoly szidás következik!

Mit várok én egy ilyen portáltól?

Gyorsan kényelmesen és biztonságosan tudjam feltölteni a nagymamám telefonját. Egyébként az oldal szlogenje: "Egyszerű, biztonságos és gyors egyenlegtöltés bármikor, bárhonnan!"

A valóság

Hogy működött régen?

Régen nagyon kényelmesen lehetett ezt csinálni. Volt egy weboldal (talán a Vodafone-nak is?, mivel Vodás telefonról van szó) megadtam a bankkártyaadataimat és megtörtént az átutalás.

Hogyan működött nyáron?

Regisztrálni kell a weboldalon. Ez nem feltétlenül baj bár nekem teljesen felesleges. Legalább ha ki tudnám választani a feltölteni kívánt mobilszámot egy listából vagy ilyesmi, de nem lehet. A regisztrációnak egy célját már látom:

Igen, úgy van! Önként és dalolva el kell fogadni, hogy szét-spammelnek vagy nincs feltöltés. Sebaj pillanatok alatt létrehoztam erre a célra a cstamas-spamme@digitus.itk.ppke.hu címet.

Hogy működik most?

Nyáron még sikerült ezzel megúsznom, de most újabb fejlesztés a láthatáron! Regisztrálni kell a bankkártyát! Így nem kell mindig újra megadni az adatait. Ez tényleg elengedhetetlen funkció. A laptopomon most is meg van jegyeztetve a szám szóval pár kattintással megoldom.

De most a legutóbbi utalásom az alábbi módon hiúsult meg:

  1. Vodafone feltöltés kiválasztása, adatok megadása
  2. Bejelentkezés
  3. Vodafone feltöltés kiválasztása, adatok megadása másodszor
  4. Ellenőrzés, igen az adatok helyesek (spamet kérek)
  5. Regisztrálhatok a otp oldalán. (Túl könnyű lenne csak a kártyadatokat megadni mi?)
  6. HIBA! (A banki rendszerben hiba... próbálja újra!)
  7. visszamegyek majd ezt látom:

  1. Várok
  2. Várok
  3. kiléptet a rendszer
  4. Bejelentkezés
  5. Vodafone feltöltés kiválasztása, adatok megadása harmadszor (nehogy azt hidd, hogy a már megadott adatokat bárhogy is megjegyezné!)
  6. Igen jók az adatok (jöhet a spam)
  7. bankkártya regisztráció (jelszót kell kitalálni)
  8. Most sikerült neki!!
  9. NEGYEDSZER is megadom az adatokat...
  10. IGEN, IGEN, IGEN!!
  11. megadhatom az előbb létrehozott jelszót
  12. Megtörtént az átutalás

Konklúzió

Legközelebb nagyon meg fogom fontolni, hogy gyalogolok 10percet a legközelebbi újságoshoz és ott veszek egy kártyát, láthatóan a "Investech Informatikai és Kommunikációs Kft" nincs felkészülve a kor elvárásaira.

Zárszónak csak annyit, hogy: "Egyszerű, biztonságos és gyors egyenlegtöltés bármikor, bárhonnan!"

Posted Fri 28 Nov 2008 08:07:01 PM CET Tags:

Remote server management

I found out a way to use remote server/device management easy on unix. Most devices have a dedicated management ethernet port, which you can plug into your management VLAN. The question is how you access this management VLAN.

One way to go, is to put yourself on the management network which I do not want, because it has several drawbacks. You are tied to that one machine, and it is not easy to grant access to others. No one has access to my desktop by definition.

The other way is to create a dedicated machine a NOC (network operation center) for this purpose and use it as a jumphost to access these devices. However the problem is that you need graphical environment because the management tools need a graphical browser with javascript and java capabilities. If I install these tools there this machine will became inherently bloted.

So here is my solution: I set up an ssh tunnel (sock proxy) with

ssh -D someport somehost

This creates a socks proxy on my local machine on someport. Then I installed foxyproxy on my machine and set up a pattern to forward all traffic via this socks proxy that was intended to contact my management network.

Posted Wed 04 Jun 2008 10:53:00 PM CEST Tags:

Webböngészők és a szaványok harca

Ez egy elég érdekes téma sokat lehet róla beszélni, két ügyes megközelítést írok le:

Az első egy hup felhasználó összefoglalója a webböngészők fejlődéséről, a második Joel elméleti fejtegetése az Internet Explorer 8 -as kapcsán. Mindkettőt érdemes elolvasni.

Posted Sun 23 Mar 2008 10:09:05 PM CET

Gmail rate contol érdekesség

Elég bizarr dologgal találkoztam a mail log-ban:

450-4.2.1 The Gmail user you are trying to contact is receiving
450-4.2.1 mail at a rate that prevents additional messages from
450-4.2.1 being delivered. Please resend your message at a later
450-4.2.1 time; if the user is able to receive mail at that time,
450 4.2.1 your message will be delivered. itt-jön-a-queue-id

A kérdés az, hogy mikortól számít "nagynak" a forgalom?

Posted Mon 04 Feb 2008 09:12:55 PM CET

Ikiwiki fejlesztések

Az egyetem weblapját akarom ebbe a rendszerbe helyezni. Már sok problémára sikerült megoldást találnom, de még sok hátra van.

Mostmár az általa generált URL-ek, nem tartalmaznak ékezeteket. A régi módszer az volt, hogy enkódolta ezeket.

Ami nem működik az az attachmentek kezelése. Van a contrib-ban egy modul hozzá, de nem működik, bár kiindulásnak jó lehet.

Lásd: unaccentpagetitlenames

Posted Fri 01 Feb 2008 04:49:05 PM CET Tags:

Diploma

Bizony-bizony sikerült!! Mostmár diplomás ember vagyok :)

Csütörtökön reggel tettem le a záróvizsga tárgyakat (sajnos a kimerültséget a bizottság is látta rajtam). Délután következett a diploma védés, ami elég jól sikerült (Pásztor Miklós szerint is). Összesítve, mindenféle szorzás - osztás és súlyozott átlag számítása után 4-es diplomát kaptam.

Igazából az előtte letett szigorlat volt az izgalmas. Itt is köszönöm mindenkinek, aki segített benne, akár tételeket magyarázva, akár csak bíztatással. (Ettől szép ez a kar).

Posted Sat 26 Jan 2008 12:26:53 PM CET Tags: