FireFox 3.0.3: как извлечь из него сертификаты?
WXP 20 ноября, 2008 - 00:59
Стоит FireFox 3.0.3, пытался сохранить сертификаты через кнопку сохранения, но выдаёт вот это:
"Не удалось создать резервную копию файла PKCS#12 по неизвестным причинам."
(там две кнопки: "сохранить копию" и "сохранить всё". И всё не работает. Обе выдают это ошибочное сообщение).
Нашёл аналогичную тему:
http://forum.mozilla-russia.org/viewtopic.php?pid=268471
Правда решение, прямо скажем.. через винду. А без неё, никак не получится забэкапить сертификат?
»
- Для комментирования войдите или зарегистрируйтесь
Ты гонишь!
Ты гонишь (если не сказать грубее, но пока evadim'а дразнить не буду).
Правка -> Настройки -> Дополнительно -> Шифрование -> Просмотр сертификатов -> Ваши сертификаты.
Здесь выбираешь сертификат, резервную копию которого хочешь сделать.
Жмёшь кнопочку "Сохранить копию".
FF предлагает сначала выбрать файл (там ещё что-то с типами, но здесь заморачиваться не стал), а потом - ввести пароль экспорта (с индикацией результата проверки силы пароля).
И всё работает!!!
:wq
--
Live free or die
Хм.. Делаю именно так как ты
Хм.. Делаю именно так как ты написал. После кнопки "сохранить копию" имя файла вводить нужно произвольное? Или оно действительно просит какой-то файл ему указать?
После того как ввожу произвольное, я сразу получаю сообщение: "Не удалось создать резервную копию файла PKCS#12 по неизвестным причинам."
и всё не работает :)
Только что удалил прошлый сертификат, остался тока новый.. И опять та же лажа.
.
Необходимо ввести имя файла в котором будет сохранён сертификат (предположительно, такого файла существовать не должно, иначе - вопрос о перезаписи).
Дык произвольное - в рамках разумного. Для начала попробуй ограничиться латиницей нижнего регистра.
Интересно получается...
Противоречит и здравому смыслу и личному опыту.
:wq
--
Live free or die
:DDD Не, ну понятно, что имя
:DDD
Не, ну понятно, что имя я ему ввожу произвольное в пределах доступного. Неужели ты думаешь, что я кириллицей со спецзнаками сохраняю? :)
И "bbb" пробовал в качестве имени :) И 111, и "111.p12". Не прёт.
А на счёт противоречит смыслу.. Ну смыслу бага точно не противоречит.
Как мне кажется, ты не обновлял сертификаты в браузере, верно? (потому как проблема похоже именно с обновлёнными..)
Я тоже когда-то сохранял успешно.. и досохранялся. :)
!
И обязательно - спецсимволами отсутствующими в системной кодировке (я всё ещё на KOI8-R и слезать особо не собираюсь).
В смысле: с установленным после обновления до 3.0.3?
А ты всегда обновляешь сертификаты по факту обновления браузера?
Всё равно гонишь: только что поставил сертфикат, успешно экспортировал резерную копию и зачистил всё (естественно кроме моего рабочего сертификата) за ненадобностью.
:wq
--
Live free or die
>> В смысле: с установленным
>> В смысле: с установленным после обновления до 3.0.3?
Если честно уже не помню с какой он версии у меня. То ли с ФФ 2 уже.
Перенёсся сертификат отлично в 3.0.1, потом и во второй версии был, и в третий тоже вот.
Но (light.webmoney.ru) заставляю каждый год обновлять сертификат и прошлый более не будет работать по истечению срока действия.
Обновить-то обновил. Как сохранить его теперь.
Насчёт гонишь.. очень сомневаюсь, потому что здесь:
http://forum.mozilla-russia.org/viewtopic.php?id=25909
описана абсолютно та же проблема. Т.е. проблема сохранения после обновления сертификата.
Как бы это сказать правильно.. на одном имени сертификата - у меня два сертификата :D ..получилось, после того как мне вебманя ещё один торжественно вручила. Вот и возникает непредвиденная ошибка. Но старый я удалил из браузера (у меня он экспортирован успешно уже давно).
А вот новый никак не сохраняется...
.
Т.е. они используют строгую авторизацию по ключам?
В порядке частного интереса: не расскажешь как выглядит процедура автоматического обновления сертификата сервером (хотя бы со стороны клиента)?
Понимаешь, я очень не люблю утверждения типа "не верь глазам своим".
А вижу я то, что сертификаты замечательно экспортируются.
Вьебмани используют чей-то (в смысле из сертифицированно-авторизованных) сертификат или самодельный?
Правда... В моём случае установка сертификата производилась не через сайт, а из файла.
Да не в именах дело.
Ты можешь иметь в браузере хоть все (дюжину-другую) клиентские сертификаты на одно имя. Роялит серийник и центр авторизации.
Отсюда глупый вопрос: серийники сертификатов (старого и нового) сравнивал?
:wq
--
Live free or die
.
ППЦ. "Раз у меня работает, значит ты гонишь".
.
Воспроизвёл описанный в тексте вопроса порядок действий.
Утверждение не подтвердилось.
Ваши действия/выводы?
:wq
--
Live free or die
Цитата:Т.е. они используют
это один из методов авторизации, который как по мне, самый удобный. Ну если не считать, что в фф с ними работать не особо получается. А откуда ж я знал, что такая фигня произойдёт.. Получил бы этот сертификат оперой, она превосходно сохраняет их. Но вот терь он получен в ФФ и не могу сохранить его..
Да я и не спорю, что они сохраняются. Но понимаешь.. сохраняются они видать у тех, кто ими не пользуется :)
Скорее всего ты не делал обновление сертификата, поэтому бага у тебя подобного не наблюдается, а у тех кто сделал обновление - у тех и наблюдается. Как и в вышеуказанной теме на форуме Мозиллы. Я кстати, им тоже отписал в тех поддержку - может скажут чего.
Точно не скажу, но скорее всего свой. Судя по полю: кем выдан сертификат - Webmoney Certification Center.
Как бы и мне его обратно в файл... :) Хотя я понимаю, что он и так в файле, но я про экспорт в формат PKCS#12.
Не, не сравнивал. А что я должен из этого понять? :) они разные..
ммм...
а что если откатить/обновить версию ФФ? тока предварительно нужно забекапить её настройки.
WXP
про оперу это ты зря - у меня опера не могла его сохранить, ещё правда восьмой ветки.
Anarchist
говоря про обновление сертификата он имеет в виду что ему пришло письмо с просьбой его смены. после этого он открыл спецстраницу, позаполнял анкетки, и сервер сгенерил ему новый сертификат, который ФФ тут-же сожрал. Видимо ФФ как-то его нетак импортнул или ещё что...
P.S. Anarchist если ты неуверен в своих ответах, и/или не пробовал сделать точно тоже самое что говорил топикстартер, перестань считать себя центром вселенной и гнать на других. Относись к другим людям уважительнее.
.
Интересно: на данном этапе возможности сохранить файл сертификата не предоставлялось?
Дык сомнения появились после предоставления дополнительной (отсутствующей в в вопросе) информации. Так что претензия небесспорна.
Как и вывод о том, что я считаю себя центром вселенной.
:wq
--
Live free or die
Цитата:а что если
Вот на счёт откатить я как-то и не подумал.
Обновить - обновил до 3.0.4, но тоже самое..
Во-во, именно эта ситуация!
Боюсь как бы не криво он импортировал его..
.
А вот у меня особенности реализации этого метода в FF вызывают некоторые вопросы (хотя может я чего-то упустил).
В Опере - последовательнее.
Судя по утверждению evadim'а и с Оперой вероятность попадалова не равна нулю.
Почему же? Вполне себе используются :) Причём именно с описанной целью.
В смысле: "не использовал фичи обновления сертификата по Сети"? Верно.
Обновление провожу ручками. Руководствуясь наличными файлами сертификатов.
В стандартном списке в моём случае отсутствует.
Ты его устанавливал отдельно (во времена 2.0 эта фича была доступна)?
А в процессе обновления возможности сохранения файла сертификата не предоставлялсь?
:wq
--
Live free or die
Цитата:В стандартном списке в
Сорри, не понял о чём ты говоришь.. :)
Устанавливал его отдельным файлом, тогда ВМ мне ещё скачать его предлагали, я и скачал. И поставил без проблем. Да, это было во времена ФФ 2.0.
Либо я пропустил этот момент, либо действительно не предоставлялось.. Во всяком случае, не заметил такой функции при "обновлении".
А должны быть серийники одинаковые?
Но кстати, он работает превосходно.. Сертификат рабочий.. только забекапить себе не могу его :)
.
О том, что ты описываешь :)
Только в FF 2.0 скачивание файла сертификата Центра Авторизации (это называется - самодельный) не было обязательным условием его установки.
А искал? Только честно? ;)
Они не могут быть одинаковыми.
Центр Авторизации + серийный номер - главные параметры сертификата.
Выше я привёл тебе шпаргалку.
С текущего профиля перепиши серийник и сравни со старым.
:wq
--
Live free or die
Ха, веселье. Оказывается
Ха, веселье. Оказывается импортировать старый сертификат в ФФ (который я удалил из ФФ), но он ещё не истекший, также нельзя :)
"Не удалось восстановить файл PKCS#12 по неизвестным причинам."
Что-то походу глюкануло у меня в ФФ...
.
Вот поэтому-то у меня и есть сомнения в степени вины FF...
Попробуй забэкапить профиль, запустить FF с пустым профилем и импортировать старый сертификат.
После этого (руководствуясь моими и не только представлениями о здравом смысле) попробуй зайти на сайт вебманей и запросить резервную копию нового сертификата (ИМХО, фича тоже вполне предсказуемая и её можно ожидать увидеть)
Далее - исходя из представлений о здравом смысле.
Цитирую свою шпаргалку:
:wq
--
Live free or die
Цитата:Попробуй забэкапить
Во-во, именно это я и делал минут 15 назад. И на удивление, прокатило. Всмысле старый сертификат установился отлично без проблем. Я успешно вошёл в ВМ. Ну а новый.. а что новый, у меня нет его ещё :DDD
ФФ мне винду напоминает, портится со временем :)
Я зашёл на ВМ со старым сертификатом, там мне сказали:
Э.. а он не хочет ли он ещё разок мне выдать? Так скать, на бис :)
Походу не хочет. Напишу в саппорт ВМа может они чего присоветуют мне..
PS если бы у меня были эти сертификаты, я бы удалил key3.db и cert8.db, как тут рекомендуют:
http://wiki.mozilla-russia.org/index.php/%D0%9E%20%D0%BF%D1%80%D0%BE%D1%84%D0%B8%D0%BB%D1%8F%D1%85%20Mozilla%20Firefox
жаль тока, что нет у меня их..
Интересно вот.. А на что это они намёкивают, когда говорят там про проблемы с сертификатами, м? :D Если управление сертификатами осуществляется через фф..
.
Если ты перед этим не установил сертификат CA вьебманей - то я искренне удивлён (можно писать багрепорт разработчикам FF).
Правильно... :(
Слишком много у них разной поганой проприетарщины.
Даёшь IceCat в основную ветку портеждей! :)))
Интересно...
Житейская логика (правда, строго говоря, противоречащая парнойе) говорит о целесообразности сохранения файлов сертификатов на выдающей стороне.
И ещё: подумай всё же о том, что реализация работы с сертификатами (именно в плане использования для авторизации) ИМХО заметно правильнее, чем в FF.
Какие эти и почему бы не откатиться на предусмотрительно забэкапленный старый профиль?
???
Факты из моей практики:
1. Совпадение серийников - источник кучи глюков (ты точно проверил, что серийник твоего нового сертификата не совпадает с серийником старого: ты же говорил, что старый удалил, а на такие вещи смотря только тогда, когда от них ждут подвоха)?
2. В последних версиях браузеров параноидальная до полной неработоспособности (наблюдал на виндовой версии Оперы 9.60) именно в твоём случае (самодельный сертификат CA) логика реализации SSL.
:wq
--
Live free or die
Кстати, ещё интересный
Кстати, ещё интересный момент.
Удалил профиль Оперы и попробовал туда добавить старый сертификат (который в ФФ добавлялся успешно после онуления её профиля) и опера не разрешает: "The certificate installation failed."
Чего с ними такое??
В Оперу я формата PKCS#12 сертификат пытался добавлять. А если добавлять тот который он просит (.usr), то ошибка такая:
"The client certificate had no matching private key in the database."
Про какую бд-то хоть речь идёт?
Или с сертификатом что-то? Попробовал добавить в konqueror - добавился успешно. :) это просто секас с моим мозгом.
.
Этот момент прокомментировать можно.
Опера новая? В ней этот сертификат когда-то был?
В последнее время наблюдается эпидемия, плавно переходящая в пандемию, паранойи :)
Если Опера свежая и не знает сертификата Центра Авторизации, то результат закономерен.
Да ту же, о которой я говорил где-то в начале темы: built-in база Центров Сертификации.
Сертификат же вьебманей заверен самодельным сертификатом Центра Авторизации.
Потому результат закономерен.
Установи сертификат CA вьебманей - и всё заживёт.
Правда не вполне понятно как в этом случае тебе дала поставить этот сертификат третья Лиса...
Не греши на свой мозг, это - результата пандемии паранойи.
Разработчики Конкверора просто ещё на заразились ;)
:wq
--
Live free or die
Цитата:Опера новая? В ней
Опера, да, новая - 9.60. Профиль абсолютно чистый. Сертификата этого там не было..
нормально :D
А что это за сертификат, откуда его взять?
.
Коллега с виндовым дистрибутивом этой же версии Оперы имел практически идентичную проблему: тоже самодельный сертификат СА, тоже попытка установки клиентского серитификата (заверенного упомянутым СА) и тоже облом.
Интересно...
Разворачиваешь из бэкапа старый профиль FF, и пробуешь экспортировать сертификат Центра Авторизации вьебманей.
Хотя относительно того, что поможет в данном случае (Опера 9.60) у меня есть изрядные сомнения.
:wq
--
Live free or die
Экспортировал из ФФ "Webmoney
Экспортировал из ФФ "Webmoney transfer root authority", успешно импортировал в оперу.
Но опера всё равно не хочет принимать мой сертификат: "The certificate installation failed."
.
Значит, та самая родная ошибка, о которой я писал.
Это - фича/бага Оперы.
:wq
--
Live free or die
:)
Как мне кажется: здесь нужно в очередной раз произнести заклинание вызова evadim'а и попросить его прокомментировать вопрос импорта в Оперу 9.60 клиентского сертификата, заверенного самодельным сертификатом СА :)
:wq
--
Live free or die
да как не работал так и не
да как не работал так и не работает... помоему у меня на x86-64 ниразу не работал, потому и стоит seamonkey
:) у меня как раз тоже
:)
у меня как раз тоже amd64.
Ну зато хоть konqueror импортирует! Надолго ли. А то эту фичу и в нём подправят :)
Ипмортирует-то хорошо, тока вот терь бы съэкспортировать его ещё из фф :D
.
С импортом из файла (для известного СА) и у FireFox (3.0.3) проблем нет.
Багу :) Обязательно пофиксят :)
Насколько я понял, вьебмани не изъявили желания повторно предоставить тебе экземпляр сертификата с продлённым сроком действия?
Я бы (по мотивам упомянутого evadim'ом) рекомендовал попробовать запустить с профилем, в котором живёт новый сертификат seamonkey или FF 2.0.0.17...
:wq
--
Live free or die
Заклинание вызова сработало :)))
Паранойя - заразная болезнь :)
Оригинальный способ обойти необходимость использования FireFox ;)
:wq
--
Live free or die
ну, бинарная мозилла помоему
ну, бинарная мозилла помоему нужна комуто, но потом я в ней нашёл некоторую полезность...
Недавно мне WebMoney ответили
Недавно мне WebMoney ответили такой ссылкой:
http://wiki.webmoney.ru/wiki/show/%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0+%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%B3%D0%BE+%D1%81%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%82%D0%B0+%D0%B2+Mozilla+Firefox
пока что не тестил, но как время появится - попробую.
.
Интересно... Сертификат в виде файла они не предлагали. И есть некоторые сомнения, что таковой (существование в таковом виде) предполагается.
И FF вполне может не уметь корректно обрабатывать такие сертификаты.
Или проблема в выборе формата выходного файла (не .p12/.pfx)...
В моём же случае (в котором проблем не наблюдаю) сертификат - это сначала файл формата .pfx, и только потом - сертификат в хранилище FF.
Предлагаю считать сей инцидент взаимным уроком ;)
:wq
--
Live free or die