Как поставить сп с самим собой: как поставить сп с самим собой вконтакте ???

«Борьба – это поединок с самим собой»

23 июня отмечается Международный Олимпийский день. Накануне этой даты мы пообщались с нашим прославленным земляком, уроженцем села Чуваш-Кубово, борцом Сергеем Корнилаевым. Сергей Григорьевич – обладатель ряда престижных спортивных наград, в числе которых бронзовая медаль на Летних Олимпийских играх в Москве в 1980 году. Биография спортсмена хорошо известна его землякам, поэтому мы акцентировали внимание в основном на Олимпиаде-80, но также не могли не затронуть и малую родину чемпиона.

– Сергей Григорьевич, расскажите, как начинался Ваш спортивный путь, и почему Вы выбрали именно вольную борьбу?

– В 1966 году, после того как умерли мои родители, дядя забрал меня из Чуваш-Кубово к себе в Москву. Мне было 11 лет, и, как все дети, я искал себе занятие по душе – кружок или секцию. Муж моей сестры занимался борьбой и привел меня однажды на занятие. Понравилось, стал заниматься. Так все и началось.

– Помните свою первую победу?

– Да, первая победа была в тренировочном зале.

– А когда Вы поняли, что борьба это Ваше призвание?

– Не было такого. Я просто работал, выигрывал, появлялось желание идти дальше.

– И вот Вы достигли международного призвания, Вас стали отправлять на соревнования, чемпионаты за рубеж. А в то время, в 70-е, не каждый советский человек мог побывать за границей. Какие впечатления у Вас остались от первой зарубежной поездки?

– Это был Будапешт. Конечно, впечатление было грандиозное. Столько всего нового, интересного – другая еда, по-другому разговаривают. А в 1977 году я впервые очутился в капстране – в Швейцарии, где проходило первенство мира. Там тоже все было очень грандиозно – и номера в отеле, и стадионы. Надо сказать, что и мы стремились повышать стандарты – в 1980 году на летней Олимпиаде в Москве уровень был не хуже.

– На этой Олимпиаде Вы завоевали бронзу. По сравнению с другими соревнованиями, пусть даже чемпионатами мира, Олимпиада в своей стране – это совсем другой уровень ответственности. Вы это чувствовали?

– Разумеется. Завоевать медаль тут было делом чести. С такой установкой и готовился. Причем мы до последнего не знали, действительно ли Олимпийские игры состоятся. Из-за ввода советских войск в Афганистан в 1979 году многие страны объявили нашей Олимпиаде бойкот.

– Тогда, чтобы не ударить в грязь лицом перед иностранцами, Москва буквально преобразилась. В магазинах появился дефицит, въезд в столицу был закрыт, чтобы все было чинно-благородно. А как Вам запомнилось то лето?

– Насчет магазинов – не знаю, мы жили в олимпийской деревне, где у нас и так все было. Питание «шведский стол», отличные условия, спортсмены со всего мира. А в Москве действительно было очень красиво – идеально чисто, свободно. К сожалению, я не был ни на открытии, ни на закрытии Олимпиады. Нас, бороцов, не пригласили участвовать, мы находились в олимпийской деревне и смотрели трансляцию по цветному телевизору.

– Как раз в разгар Олимпиады умер Высоцкий.

– Да, я помню. Мы приехали с базы в олимпийскую деревню, и нам сообщили. Трудно было поверить в это. Мы же с удовольствием слушали его песни.

– Вам когда-нибудь приходилось иметь дело с допингом?

– Нет. Я в этом вообще не разбираюсь, нам, борцам, допинг не нужен.

– Приходилось ли Вам когда-нибудь применять свои боевые навыки вне спортивного зала?

– К счастью, нет. Если и бывали острые моменты, когда кто-то готов был наброситься, я использовал метод убеждения.

– Чем Вы занялись после завершения карьеры спортсмена?

– Я пошел учиться на тренера. Стал старшим тренером юношеской сборной Советского Союза. Тренерской работой я занимаюсь по сей день.

– Часто ли Вы бываете в Иглинском районе, в Чуваш-Кубово?

– Всегда приезжаю по возможности. Ведь это мои корни, я ощущаю связь с родными местами.

– О Вас здесь очень тепло отзываются, говорят, что Вы много помогаете родному селу.

– Стараюсь, как могу. Здесь я провожу соревнования, привожу почетных гостей – олимпийских чемпионов, Героев России, депутатов. Все вместе собираемся, привозим подарки, оказываем спонсорскую помощь.

– Ваша внучка Любовь Корнилаева тренирует детей здесь, в Иглинском районе. А кто еще из Ваших детей, внуков пошел по Вашим стопам?

– Люба – дочка моего племянника. У меня пятеро детей, есть внуки. Все они выбрали разные направления. Один – тренер по плаванию, другой занимается бизнесом, третий – тоже в бизнесе, дочка воспитывает сына, моего внука.

– Что Вы посоветуете начинающим борцам?

– Попасть к хорошему тренеру, как мне когда-то посчастливилось. Чтобы они держались вместе. Моего тренера звали Василий Иванович Баринов. Он был мне наставником и другом, поддерживал меня до конца своих дней (2004 г.).

– И последний вопрос. Что для Вас борьба?

– Прежде всего, это поединок с самим собой. Нужно перебороть свои слабости, недостатки, согнать вес и так далее.

– Спасибо Вам, Сергей Григорьевич, за интересную беседу и всего Вам доброго!

– Благодарю, и вам всего наилучшего!

ДОСЬЕ
Сергей Григорьевич Корнилаев родился 20 февраля 1955 года в селе Чуваш-Кубово. Специализация – борьба вольного стиля. Выступал в легчайшей весовой категории до 48 кг.
Заслуженный мастер СССР по вольной борьбе (1978), четырехкратный чемпион мира (1978, 1979, 1981, 1982), чемпион Европы (1984), бронзовый призер XXII Олимпийских игр (1980), обладатель Кубка мира. Кавалер Ордена Дружбы народов.
В Иглинском районе проводится Республиканский турнир по вольной борьбе на призы С. Г. Корнилаева.

Фото предоставлено С. Корнилаевым.

Кульбуш Екатерина Андреевна

КУ́ЛЬБУШ Екатерина Андреевна [19.1.1961, Л-д] — поэт.

Мать — детский врач; отец оставил семью, узнав, что его дочь родилась слепой. По окончании средней школы, К. закончила ЛГПИ им. А. И. Герцена, фак-т дефектологии с красным дипломом. По окончании ин-та работала учителем в школе для слепых, занималась науч. работой, неск. лет жила в Англии. Позднее — менеджер по продаже мед. оборудования.

Член СП России (с 1999), лит. мастерской Ю. Шестакова и ЛИТО В. Лейкина, пост. автор альм. «Царское Село», «Гармония» «Русский мир», «Рог Борея» «День поэзии», «Окно», «Синий апельсин», «Всерусский собор», стихи К. печ. в газ. «Лит. Петербург», ж. «Нева».

Стихи нач. сочинять в 4 года (сохранились сделанные бабушкой записи), посещала детское ЛИТО «Дерзание» при лен. Дворце пионеров, но никогда не считала своё увлечение поэзией серьёзным занятием, поэтому впервые опубл. стихи К., напис. на заказ, «Знаки зодиака» в кн. С. и В. Веташей «Искусство астрологии» в 1994. Перв. сб. стихов «Мечты и звуки» был издан в 1997 (в сб. имеется ссылка на то, что назв. заимствовано у Н. Некрасова), этим К. подчёркивает и свою преемственность по отношению к классич. лит-ре, и свою готовность принять неудачу. Превалирующую часть сб. составляет серия стих., посвящённых великим личностям истории, среди кот. Ньютон, Наполеон, Пушкин, Сафо, Кант, Энгельс, Микеланджело, Шекспир и др., при этом автор совсем не ставит перед собой задачи нарисовать портрет того или иного персонажа, а напротив опирается на всем изв. факты, мифы, сплетни (Ньютону упало яблоко на голову, Микеланджело зарезал своего натурщика), так что читатель общается не с подлинным героем, а со своим стереотипом представлений о нём, т.е. в конечном счёте с самим собой, со своим внутренним миром. К. показывает, что каждый человек, чувствующий, страдающий, ищущий, бесценен. Заметное место в этой кн. занимает цикл « Венера », состоящий из 4-х стих., по существу — единый ряд образных ассоциаций. В этом цикле К., мастерски владея метафорой, показывает динамику развития сферы чувств человека, не привязывая их к какому бы то ни было лирич. герою. «На поэтическом небосклоне зажглась ещё одна звезда», — приветствует появление кн. А. Яковлева в ст. «Звёзды не роскошь». Ей вторит Г. Муриков: «Неожиданно ярко на поэтическом небосклоне Петербурга восходит звезда Екатерины Кульбуш. Молодой поэтессе в высшей степени присуще то качество, которое Бунин назвал “лёгким дыханием”». В своей статье критик отмечает «многослойность символики и неожиданное смещение ракурсов восприятия поэзии Кульбуш… тонкую, едва заметную иронию… высокую точность слова, как образа, так и символа… изящество и элегантность, даже салонность в самом лучшем смысле этого слова… предельную углублённость в самую суть вещей, в их душу» (Петерб. прорыв). Будучи представленным СП России, сб. получил высокую оценку, и в 1998 К. издаёт новую кн. — «День проливания слёз» . По сравнению с первой, являющейся как бы театром одного актёра-автора, в этом сб. лирика автора начинает приобретать гражданственную направленность, автор пытается проанализировать неоднозначность своих чувств, отражающих драматич. период в судьбе России 1990-х годов: «Слово о полку Игореве», «Чудские озёра», «Родина» , появляются стихи религиозного содержания, в которых поэтесса с предельной искренностью и беспощадностью к самой себе раскрывает свой путь поиска Бога, и этот путь ещё очень далёк от завершения: «Боже, если Ты есть, помоги мне в безверье моём, / поддержи, как врага, а не то я могу усомниться». Сборник «Фианит и немного правды» вышел в свет в 2000. К. всё меньше фантазирует, всё увереннее взаимодействует с реальным миром, её лирич. героиня от слов переходит к делу: забивает гвозди, попадая при этом по собственным пальцам, делает аборт, пытается совершить самоубийство и т.д. К. не стесняется т.н. «неудобных» тем, не боится обращаться к конкретным, современным ей политич. событиям: гибель подлодки «Курск», штурм Грозного, теракты в моск. метро. В ст. «Свет чудесного кристалла», посвящённой выходу этой кн., Б. Краснов пишет: «Кульбуш… пытается во многих случаях удачно оживить искусство, сделать театр поэзии жизнью… Она стремится через стихи пережить множество судеб, искупив, таким образом, несовершенство судьбы собственной. Её стихи сослагательны по замыслу и экстремальны по исполнению… это преодоление бытовухи, стремление через жизнь прорваться к бытию». В 2005 выходит сб. «Прошлогодний снег» , положительно встреченный критикой. В ст. «Предчувствие новых людей» Ю. Лукомская отзывается о кн. как о «…вечном поиске, совершенствовании себя в самой себе и всего остального мира в себе». В «Прошлогоднем снеге» поэзия К. обретает звучание нового философского обобщения: «Поглядеть бы в глаза наступившей весне, / Только мальчик соседский полгода в Чечне… / А заметил бы Плейшнер цветок на окне / всем нам было б хоть чуточку легче». И. Важинская в литературоведческом исследовании говорит о поздней поэзии К так: «…литературная героиня Е. Кульбуш говорит от имени “мы”, от имени поколения». Степень худож. обобщения такова, что, кажется, она говорит обо всех нас. Она помогает читателю разматывать клубок ассоциативных нитей, вытягивая из собств. прошлого ряд воспоминаний».

Одной из основополагающих тем тв-ва К. является тема взаимоотношения поэта и поэзии и шире — загадка тв-ва в целом. Но если в рамках ранних произведений эта тема раскрывается рядом простых, хотя и ярких предметно-образных ассоциаций «Поэт», «Поэзия», «Нынче день проливания слёз» , то в более поздних стих. К даёт недвусмысленные оценочные характеристики своему тв-ву: «Не по грехам судите. По стихам / Я просто дрянь, когда они плохие». «Стихи сочинят меня, и хожу по земле я / как будто немного моложе, красивее, злее». Посл. стихи К., представленные в сб. «Петербургский квадрат» (2010), проникнуты настроением тяжёлого душевного надлома, поисками выхода из тяжёлой жизненной ситуации: «Самые близкие люди порою наносят нам / самые страшные, неизлечимые раны…»

Соч .: Мечты и звуки. СПб., 1997; День проливания слёз. СПб., 1998; Фианит и немного правды. СПб., 2000; Петерб. квадрат. СПб., 2010.

Лит: Яковлева А. Звёзды не роскошь // Октябрьская магистраль. 1997. № 186; Муриков Г. Петерб. прорыв // Лит. Петербург. 1998. № 5; Краснов Б. Свет чудесного кристалла (о кн. Е. Кульбуш «Фианит и немного правды») // Лит. Петербург. 2001. № 5; Важинская И. Гармоническая алгебра // Гармония. 2009. Вып. 1; Лукомская Ю. Предчувствие «Новых людей» (о кн. Е. Кульбуш «Прошлогодний снег») // Гармония. 2009. Вып. 1; Биобиблиогр. справочник СПбО СП России / Сост. А. И. Белинский. СПб., 2011.

А. Ахматов

Как сгенерировать самозаверяющий SSL-сертификат с помощью OpenSSL?

Я что-то упустил? Это правильный способ создания самозаверяющего сертификата?

Создать самозаверяющий сертификат очень просто. Вы просто используете команду openssl req . Может быть сложно создать такой, который сможет использовать самый большой выбор клиентов, таких как браузеры и инструменты командной строки.

Это сложно, потому что браузеры имеют свой собственный набор требований, и они более строгие, чем IETF. Требования, используемые браузерами, задокументированы на форумах CA/Browser (см. ссылки ниже). Ограничения возникают в двух ключевых областях: (1) якоря доверия и (2) DNS-имена.

Современным браузерам (таким как варез, который мы использовали в 2014/2015 годах) нужен сертификат, который связывается с якорем доверия, и они хотят, чтобы DNS-имена представлялись в сертификате определенным образом. И браузеры активно выступают против самоподписанных серверных сертификатов.

Некоторые браузеры не позволяют легко импортировать самозаверяющий сертификат сервера. Фактически, вы не можете использовать некоторые браузеры, такие как браузер Android. Таким образом, полное решение состоит в том, чтобы стать своим собственным авторитетом.

Если вы не становитесь своим собственным авторитетом, вы должны получить правильные DNS-имена, чтобы дать сертификату наибольшие шансы на успех. Но я бы посоветовал вам стать авторитетом для себя. Легко стать авторитетом для себя, и это позволит обойти все проблемы с доверием (кому лучше доверять, чем себе?).

---

Вероятно, это не тот сайт, который вы ищете!
Сертификат безопасности сайта не является доверенным!

Это связано с тем, что браузеры используют предопределенный список якорей доверия для проверки сертификатов сервера.

Самозаверяющий сертификат не связывается с доверенным якорем.

Лучший способ избежать этого:

1. Создайте свой собственный центр сертификации (т. е. станьте ЦС)
2. Создайте запрос на подпись сертификата (CSR) для сервера
3. Подпишите CSR сервера своим ключом ЦС
4. Установить сертификат сервера на сервер
5. Установите сертификат ЦС на клиенте

Шаг 1 — Создайте свой собственный центр сертификации просто означает создание самозаверяющего сертификата с CA: true и правильным использованием ключа. значит Субъект и Издатель — это один и тот же объект, для CA установлено значение true в Basic Constraints (он также должен быть помечен как критический), использование ключа — keyCertSign и crlSign (если вы используете CRL), Идентификатор ключа субъекта

(SKI) совпадает с идентификатором ключа органа (AKI).

Чтобы стать собственным центром сертификации, см. *Как подписать запрос на подпись сертификата в своем центре сертификации? о переполнении стека. Затем импортируйте свой ЦС в хранилище доверия, используемое браузером.

Шаги 2–4 примерно соответствуют тому, что вы делаете сейчас для общедоступного сервера, когда подключаете услуги центра сертификации, такого как Startcom или CAcert. Шаги 1 и 5 позволяют вам избежать стороннего авторитета и действовать как собственный авторитет (кому лучше доверять, чем себе?).

Следующий лучший способ избежать предупреждения браузера — доверять сертификату сервера. Но некоторые браузеры, такие как браузер Android по умолчанию, не позволяют вам это сделать. Так что это никогда не будет работать на платформе.

Проблема с браузерами (и другими подобными пользовательскими агентами)

, а не , доверяющие самозаверяющим сертификатам, станет большой проблемой в Интернете вещей (IoT). Например, что произойдет, когда вы подключитесь к своему термостату или холодильнику, чтобы запрограммировать его? Ответ: ничего хорошего с точки зрения пользовательского опыта.

Рабочая группа W3C WebAppSec начинает изучать проблему. См., например, Предложение: Маркировка HTTP как небезопасного.

---

Как создать самозаверяющий сертификат с OpenSSL

Приведенные ниже команды и файл конфигурации создают самозаверяющий сертификат (также показано, как создать запрос на подпись). Они отличаются от других ответов в одном отношении: DNS-имена, используемые для самозаверяющего сертификата, находятся в альтернативном имени субъекта

(SAN) , а не в общем имени (CN) .

DNS-имена размещаются в SAN через конфигурационный файл со строкой subjectAltName = @alternate_names (через командную строку это сделать нельзя). Тогда есть секция alter_names в конфигурационном файле (настройте на свой вкус):

 [ alter_names ]
DNS.1 = example.com
DNS.2 = www.example.com
DNS.3 = mail.example.com
DNS.4 = ftp.example.com
# Добавьте их, если они вам нужны. Но обычно вы не хотите их или
# они нужны в производстве.  Они могут понадобиться вам для развития.
# DNS.5 = локальный хост
# DNS.6 = localhost.localdomain
# IP.1 = 127.0.0.1
# IP.2 = ::1
 

Важно поместить DNS-имя в SAN, а не в CN, потому что и как IETF, так и форумы CA/Browser определяют практику. Они также указывают, что DNS-имена в CN устарели (но не запрещены). Если

вы помещаете DNS-имя в CN, то оно должно быть включено в SAN согласно политикам CA/B. Таким образом, вы не можете избежать использования альтернативного имени субъекта.

Если вы не поместите DNS-имена в SAN, сертификат не пройдет проверку в браузере и других пользовательских агентах, которые следуют рекомендациям CA/Browser Forum.

Связано: браузеры следуют политикам CA/Browser Forum; а не политики IETF. Это одна из причин, по которой сертификат, созданный с помощью OpenSSL (который обычно следует IETF), иногда не проверяется в браузере (браузеры следуют CA/B). Это разные стандарты, у них разные политики выдачи и разные требования к проверке.

---

Создайте самозаверяющий сертификат (обратите внимание на добавление опции -x509 ):

openssl req -config пример-com.conf -new -x509 -sha256 -newkey rsa:2048 -nodes \
    -keyout пример-com.key.pem -days 365 -out пример-com.cert.pem
 

Создать запрос на подпись (обратите внимание на отсутствие параметра -x509 ):

 openssl req -config example-com.conf -new -sha256 -newkey rsa:2048 -nodes \
    -keyout example-com.key.pem -days 365 -out example-com.req.pem
 

Печать самоподписанного сертификата :

 openssl x509 -in example-com.cert.pem -text -noout
 

Распечатать запрос на подпись :

 openssl req -in example-com.req.pem -text -noout
 

Файл конфигурации (передается через опцию -config )

 [ req ]
биты по умолчанию = 2048
default_keyfile = server-key.pem
отличительное_имя = тема
req_extensions = req_ext
x509_extensions = x509_ext
string_mask = только utf8
# DN субъекта может быть сформирован с использованием X501 или RFC 4514 (описание см.
  в RFC 4519).
# Это своего рода мэшап. Например, RFC 4514 не предоставляет адрес электронной почты.
[ предмет ]
countryName = название страны (двухбуквенный код)
countryName_default = США
stateOrProvinceName = название штата или провинции (полное название)
stateOrProvinceName_default = Нью-Йорк
localityName = Название местности (например, город)
localityName_default = Нью-Йорк
OrganizationName = Название организации (например, компания)
организацияName_default = Пример, ООО
# Используйте понятное имя, потому что оно представлено пользователю. DNS сервера
# имена помещаются в альтернативные имена субъектов. Кроме того, DNS-имена здесь устарели.
# как IETF, так и CA/Browser Forums. Если вы разместите здесь DNS-имя, то вы
# также должно включать DNS-имя в SAN (в противном случае Chrome и другие
# строго следовать базовым требованиям CA/браузера не удастся).
commonName = Общее имя (например, полное доменное имя сервера или ВАШЕ имя)
commonName_default = Пример компании
адрес электронной почты = адрес электронной почты
emailAddress_default = test@example.  com
# Раздел x509_ext используется при создании самоподписанного сертификата. То есть openssl req -x509...
[ x509_ext ]
subjectKeyIdentifier = хэш
authorKeyIdentifier = идентификатор ключа, эмитент
# Вам нужна только цифровая подпись ниже. *Если* вы не разрешаете
# Передача ключа RSA (т. е. вы используете эфемерные наборы шифров), затем
# опустить keyEncipherment, потому что это передача ключей.
базовые ограничения = CA:FALSE
keyUsage = digitalSignature, keyEncipherment
subjectAltName = @alternate_names
nsComment = "Сгенерированный сертификат OpenSSL"
# RFC 5280, раздел 4.2.1.12 делает EKU необязательным
# CA/базовые требования к браузеру, Приложение (B)(3)(G) меня смущает
# В любом случае вам, вероятно, понадобится только serverAuth.
# extendedKeyUsage = serverAuth, clientAuth
# Раздел req_ext используется при формировании запроса на подпись сертификата. То есть запрос openssl ...
[req_ext]
subjectKeyIdentifier = хэш
базовые ограничения = CA:FALSE
keyUsage = digitalSignature, keyEncipherment
subjectAltName = @alternate_names
nsComment = "Сгенерированный сертификат OpenSSL"
# RFC 5280, раздел 4.
  2.1.12 делает EKU необязательным
# CA/базовые требования к браузеру, Приложение (B)(3)(G) меня смущает
# В любом случае вам, вероятно, понадобится только serverAuth.
# extendedKeyUsage = serverAuth, clientAuth
[альтернативные_имена]
DNS.1 = example.com
DNS.2 = www.example.com
DNS.3 = mail.example.com
DNS.4 = ftp.example.com
# Добавьте их, если они вам нужны. Но обычно вы не хотите их или
# они нужны в производстве. Они могут понадобиться вам для развития.
# DNS.5 = локальный хост
# DNS.6 = localhost.localdomain
# DNS.7 = 127.0.0.1
# IPv6 локальный хост
# DNS.8 = ::1
 

Вам может потребоваться сделать следующее для Chrome. В противном случае Chrome может сообщить, что Common Name недействителен ( ERR_CERT_COMMON_NAME_INVALID ). Я не уверен, какая связь между IP-адресом в SAN и CN в данном случае.

 # локальный хост IPv4
# IP.1 = 127.0.0.1
# IPv6 локальный хост
# IP.2 = ::1
 

---

Существуют и другие правила, касающиеся обработки DNS-имен в сертификатах X. 509/PKIX. Обратитесь к этим документам для правил:

• RFC 5280, Internet X.509 Сертификат инфраструктуры открытых ключей и список отозванных сертификатов (CRL) Профиль
• RFC 6125, Представление и проверка удостоверения службы доменных приложений в инфраструктуре открытых ключей Интернета с использованием сертификатов X.509 (PKIX) в контексте безопасности транспортного уровня (TLS)
• RFC 6797, Приложение A, Строгая транспортная безопасность HTTP (HSTS)
• RFC 7469, Расширение для закрепления открытого ключа для HTTP
• Базовые требования форума CA/Browser
• Руководство CA/Browser Forum по расширенной проверке

Перечислены RFC 6797 и RFC 7469, поскольку они имеют более строгие ограничения, чем другие документы RFC и CA/B. RFC 6797 и 7469 также не разрешают IP-адрес.

iis — Как создать самозаверяющий сертификат для локального хоста?

В локальной сети (локальной сети) у нас есть серверный компьютер, здесь он называется xhost под управлением Windows 10, IIS активирован как веб-сервер. Мы должны получить доступ к этому компьютеру через браузер, такой как Google Chrome, не только с localhost через https://localhost/ с самого сервера, а также с других хостов в локальной сети с URL https:// xhost / :

https://локальный/
https://xhost/
https://xhost.local/
...
 

При таком способе доступа у нас здесь не полное доменное имя, а только имя локального компьютера xhost.

Или из глобальной сети:

https://dev.example.org/
...
 

Вы должны заменить xhost своим реальным именем локального компьютера.

Ни одно из вышеперечисленных решений не может нас удовлетворить. После нескольких дней попыток мы приняли решение openssl.exe. Мы используем 2 сертификата — CA (сертификат самосертифицированного органа) RootCA.crt и xhost.crt, сертифицированный первым. Мы используем PowerShell.

1. Создайте и перейдите в безопасный каталог:

 cd C:\users\so\crt 

2. Создайте RootCA.

pem, RootCA.key и RootCA.crt как самосертифицированный центр сертификации:

openssl req -x509 -nodes -new -sha256 -days 10240 -newkey rsa:2048 -keyout RootCA.key -out RootCA.pem -subj "/C=ZA/CN=RootCA-CA"
openssl x509 -outform pem -in RootCA.pem -out RootCA.crt
 

3. сделать запрос на сертификацию: xhost.key, xhost.csr:

 C: Страна
СТ: состояние
L: населенный пункт (город)
O: Название организации
Организационная единица
CN: обычное имя
    
 

openssl req -new -nodes -newkey rsa:2048 -keyout xhost.key -out xhost.csr -subj "/C=ZA/ST=FREE STATE/L=Golden Gate Highlands National Park/O=WWF4ME/OU=xhost. главная/CN=xhost.local"
 

4. Получить сертификат xhost.crt от RootCA.pem:

openssl x509 -req -sha256 -days 1024 -in xhost.csr -CA RootCA.pem -CAkey RootCA.key -CAcreateserial -extfile domains.ext -out xhost.crt
 

с extfile файлом domains.ext, определяющим множество защищенных способов доступа к веб-сайту сервера:

 authorKeyIdentifier=keyid,эмитент
основные ограничения = КА: ЛОЖЬ
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
DNS. 1 = локальный хост
DNS.2 = xhost
DNS.3 = xhost.local
DNS.4 = dev.example.org
DNS.5 = 192.168.1.2
 

5. Сделать xhost.pfx PKCS #12,

, объединив приватный xhost.key и сертификат xhost.crt, что позволит импортировать в iis. Этот шаг запрашивает пароль, пожалуйста, очистите его, нажав клавишу [RETURN] (без пароля):

openssl pkcs12 -export -out xhost.pfx -inkey xhost.key -in xhost.crt
 

6. импортировать xhost.pfx в iis10

, установленный на компьютере xhost (здесь localhost). и перезапустите службу IIS.

 IIS10 Администратор служб Интернета (IIS) (%windir%\system32\inetsrv\InetMgr.exe)
 

7. Свяжите ssl с сертификатом

xhost.local на порту 443.

Перезапустите службу IIS.

8. Импортируйте RootCA.crt в

Доверенные корневые центры сертификации

через Google Chrome на любом компьютере, который будет иметь доступ к веб-сайту https://xhost/.

\Google Chrome/…/Настройки /[Дополнительно]/Конфиденциальность и безопасность/Безопасность/Управление сертификатами

Импортировать RootCA. crt

Браузер покажет это действительное дерево сертификатов:

RootCA-CA
  |_____ xhost.local
 

Ошибка сертификата не появится через локальную сеть, даже через глобальную сеть https://dev.example.org.

Вот весь файл сценария Powershell socrt.ps1 для создания всех необходимых файлов сертификатов с нуля:

 #
# Генерировать:
# RootCA.pem, RootCA.key RootCA.crt
#
# xhost.key xhost.csr xhost.crt
# xhost.pfx
#
# создано 15-EEC-2020
# изменено 15 декабря 2020 г.
#
#
# перейти в безопасный каталог:
#
компакт-диск C:\users\so\crt
#
# Создайте файлы RootCA.pem, RootCA.key и RootCA.crt в качестве центра сертификации:
#
openssl req -x509 -nodes -new -sha256 -days 10240 -newkey rsa:2048 -keyout RootCA.key -out RootCA.pem -subj "/C=ZA/CN=RootCA-CA"
OpenSSL x509-outform pem -in RootCA.pem -out RootCA.crt
#
# получить RootCA.pfx: разрешение на импорт в iis10: не требуется.
#
#openssl pkcs12 -export -out RootCA.pfx -inkey RootCA.