certificat ssl semnat auto-ca pentru a genera un certificat
certificat SSL semnat auto-ca pentru a genera
Certificatele SSL sunt folosite pentru criptarea informațiilor transmise prin intermediul rețelelor publice. Certificatele sunt utilizate în construcția sistemului poștal, și (mult mai des) este montat pe domeniul pentru a avea acces la site prin intermediul unui browser web de pe portul 443. Este numai prin https conexiuni pentru a efectua orice tranzacții de bani pe site-urile sistemelor de tranzacționare on-line.
Certificate și chei SSL pot fi generate pe orice server Linux, semn al centrelor sertfikatsionnye nevoie și de certificate pot fi semnate în mod independent. Browser la accesarea site-ului, de lucru cu certificat SSL autosemnat va emite un avertisment cu privire la imposibilitatea de a asigura o conexiune sigură, dar de multe ori această opțiune este, de asemenea, utilizat.
Cum de a genera un certificat auto-semnat pe un server Linux
Pentru a genera un certificat auto-semnat va trebui să instalați pachetul de server OpenSSL (de multe ori este instalat în mod implicit)
apt-get install OpenSSL
Generat cheie echipa fișier genrsa. în același timp, indică tipul de criptare rsa
OpenSSL genrsa -des3 -out remote-tech-support.key 2048
Obținem cheia privată
Cerem expresia de acces (passfrase), care este solicitat în executarea comenzii de mai sus
Modificarea drepturilor la fișierul cheie
chmod 600 remote-tech-support.key
Genera o cerere de certificat pe baza cheii
OpenSSL req -new -key remote-tech-support.key -out remote-tech-support.csr
Creați un certificat pentru 365 de zile, pe baza cererii noastre, generat în etapa anterioară; Certificatul va fi semnat de cheia noastră
openssl x509 -days 365 -in remote-tech-support.csr -signkey remote-tech-support.key -out remote-tech-support.crt
Ori de câte ori vom face orice tranzacții cu sistemul cheie privată solicită o expresie de acces. Să nu-l introduceți de fiecare dată următoarele operații. .nopass genera cheia și înlocuiți cheia utilizată anterior.
OpenSSL rsa -in remote-tech-support.key -out remote-tech-support.key.nopass
mv remote-tech-support.key.nopass remote-tech-support.key
După această frază de acces nu mai este necesară
Genera .pem fișier cu o cheie și un certificat care va semna certificatul nostru a generat pe un server (pentru a elibera certificate și autoritatea de certificare a parolei. CA)
req openssl -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 365
Schimbarea permisiunile pentru fișierul care conține cheia domeniului nostru și cu rasshireniem.pem fișier
chmod 600 remote-tech-support.key
chmod 600 cakey.pem
Pasul final pentru a muta fișiere într-un mod special creat pentru ei director
mv remote-tech-support.key / etc / ssl / private /
mv remote-tech-support.crt / etc / ssl / certs /
mv cakey.pem / etc / ssl / private /
mv cacert.crt / etc / ssl / certs /
Calea spre este necesar să se specifice la configurarea software-ului diferite, utilizați certificate: Web (. Apache Nginx) si server de mail (Postfix Exim Dovecot ..).
Descris în articolul algoritmul funcționează perfect pe Ubuntu, atunci când se încearcă pe un server cu Debian 7 comandă:
openssl x509 -days 365 -in remote-tech-support.csr -signkey remote-tech-support.key -out remote-tech-support.crt
în imposibilitatea de a încărca certificatul
140667608573608: eroare: 0906D06C: PEM rutine: PEM_read_bio: nici o linie de start: pem_lib.c: 696: Aștepți: TRUSTED CERTIFICAT
Problema în formatul incorectă a fișierului generat
Acesta este decis înlocuirea Debian, de fapt, toate comenzile de mai sus într-un singur articol
req openssl -new -x509 -days 365 -nodes -out /etc/ssl/localcerts/remote-tech-support.pem -keyout /etc/ssl/localcerts/remote-tech-support.key
Înainte de a pune în aplicare este necesară pentru a crea directorul / etc / SSL / localcerts