SSL, Apache och skapa certifikat

Jag tänkte dra igång en Subversion-server, via svn+ssh://mydomain.se. Av den anledningen behöver jag generera ett certifikat för detta ändamål. Det ska gå i Certifikatassistenten, som man på ett enkelt sätt kan komma åt ifrån Nyckelhanteraren. Jag har skapat en egen självsignerad certificate authority för detta ändamål. Det var inga problem.

Med denna certifikatutfärdare så ska jag sedan skapa det certifikat och krypteringsnycklar som krävs för SSL, och det är här jag inte lyckas riktigt. Jag kommer igenom hela proceduren, men i slutet får jag ett felmeddelande som säger att certifikatet inte kan skapas. Det är ju en mängd inställningar som ska göras, och förmodligen är det någon inställning som jag gör fel någonstans.

Är det någon som har lyckats ta sig igenom denna procedur, och kan beskriva steg för steg hur inställningarna ska vara? Jag är inte helt novis på datorer. Jag har hållit på med programmering sedan 1979. Däremot är jag inte lika duktig på det här med certifikat, som synes.

För att spä på problemet ytterligare så är mittt domännamn ett IDN (International Domain Name), dvs det innehåller tecken som inte är ASCII, som t.ex åäö.

När man genererar certifikatet så ska man på ett par ställen skriva in namnet på den domän som certifikatet ska gälla för. Det står att man ska fylla i DNS-namnet. Fråga är då om det är namnet som det står i en URL eller ska man skriva in det som punycode?

Jag har provat båda varianterna i kombination med olika inställningar av andra parametrar, men ändå inte lyckats. Det måste alltså vara någon av de andra parametrarna som är fel.

Nej, felmeddelandet är inte speciellt hjälpsamt, och inte hjälpfilerna för certifikatassistenten heller. Om du absolut vill ha texten i felmeddelandet så är den "Data verkar inte vara ett giltigt certifikat". Jag har provat att skriva in mitt domännamn både som text: www.räksmörgås.nu och som punycode xn--rksmrgs-5wao1o, med samma resultat. Jag har provat med de inställningar som jag tycker borde vara riktiga, och även med de defaultinställningar som föreslås av certifikatassistenten när jag skapar certifikatet.

Vad är det som strular med IDN? Jag har i alla fall inga problem med det. Är det DNS du har problem med? DNS har aldrig hanterat namn med teckenkoder 128 och uppåt. Domänamn med t.ex åäö i namnet måste kodas om, enligt ovan. Om man gör det så är det inga problem.

BTW: Vad är US-ASCII? All ASCII är ju amerikansk per definition, annars vore det ju knappast ASCII (American Standard Code for Information Interchange).

Jag håller med. Jag fattar inte heller varför de gjorde som de gjorde med Punycode och allt. Det blir bara omständigt för alla som inte kör med rena ASCII-namn som domännamn.

Jag är inte intresserad av utländska besökare. Den aktuella siten kommer att handla om min egen släktforskning, och är därför inte så intressant för de flesta andra utom just min släkt. I och för sig har jag släkt i USA, men de har jag utbyte av information med på annat sätt. Denna websida är för alla de i min släkt som INTE släktforskar, och som är intresserade av mina forskningsresultat.

Skälen till att jag inte vill köra ASCII-namn är flera. Dels finns det efternamn som t.ex mitt, där namnet om jag skriver o istället för ö, råkar vara upptaget under alla toppdomäner jag undersökt. Dels har jag en domän med ordet släktforskning i, och det blir ju slaktforskning om jag bara använder ASCII. Det blir ju inte så lyckat.

Nej, det är inte requestfilen jag signerar. Som jag skrev så använder jag Certifikatassistenten (som i sin tur använder sig av openssl) för att skapa certifikat. Jag har skapat certifikat förut med den. Dock aldrig ett för just SSL. Det är det enda cert jag misslyckats med.

Jag har alltså skapat min egen CA, och med den kan jag sedan skapa andra certifikat.