Crearea de certificat ssl în Linux

Continuând linia de articole despre SSL, aș dori să descrie apariția certificatelor pași.

Nu se va repeta în terminologia. Partea teoretică este descrisă în articolul „Ce este SSL și de ce mananci“

Alte acțiuni sunt valabile pe Linux, folosind pachetul funcțional c OpenSSL.

Deci, pentru a începe a genera cheia de securitate. Este important să copiați fișierul într-un loc retras, deoarece nu va funcționa fără un certificat.

OpenSSL genrsa -out server.key 2048

Apoi a genera fișierul la o cerere de certificat:

req openssl -new -key server.key -out% your_website% .csr

În procesul de generare de interogare vi se va solicita următoarele întrebări. În mod firesc, cele mai multe dintre ele pot rămâne fără răspuns. Este important Nume numai comună - numele site-ului. Dacă este o greșeală, certificatul nu va funcționa:

Numele țării (cod din 2 litere) [AU]:
Stat sau de provincie (nume complet) [Unele-stat]:
Numele localității (de exemplu, un oraș) []:
Numele organizației (de exemplu, companie) [Internet Widgits Pty Ltd]:
Nume Unitate organizatorică (de exemplu, secțiunea) []:
Nume comun (de exemplu, FQDN server sau numele tău) []:
Adresa de email []:
O parolă provocare []:
Un nume opțional de companie []:

Din păcate Denumire comună acceptă doar o singură valoare, care este, puteți genera un certificat numai pentru domeniul www, sau numai pentru domeniul fără www. Ce să fac? Foarte simplu. Mai întâi trebuie să fie pregătite pentru a se asigura că certificatul pe 2 domenii va costa mai mult decât 1. Asta este, dacă utilizați link-uri cu www și fără www, atunci trebuie să plăti, sau rescrie codul de pe site-ul.

Un alt exemplu ar fi pentru a economisi bani. Asta este, un certificat pentru domeniul 3, de obicei, costă mai puțin de 3 certificat separat. După cum ați ghicit, atunci ne vom concentra pe generarea de certificate pentru mai multe domenii sau ale certificatelor multidomeniu.

Pentru a genera o cerere de certificat pentru mai multe domenii pe care doriți să editați un fișier /etc/ssl/openssl.cnf:

Apoi, trebuie să găsiți secțiunea [v3_req]. Acesta va include aici următoarele linii:

basicConstraints = CA: FALSE
keyUsage = non-repudiere, digitalSignature, keyEncipherment

Imediat sub acestea este necesar să se prescrie următoarea construcție

subjectAltName = @alt_names
[Alt_names]
DNS.1 = www.% Your_website% .com
DNS.2 = www.% Your_website% .org
DNS.3 =% your_website% .org

Alt_names matrice va conține numele alternative de domenii care vor fi incluse în certificat. Nu este dreptul poate fi îndepărtat prin dreapta - adăugați.

După această operație, trebuie să se întoarcă la 3 pași înapoi, server.key și pentru a genera CSR.

Din păcate, o astfel de funcție nu este disponibilă în IIS, astfel încât certificatele multidomeniu sunt generate exclusiv pe Linux.

La ieșirea veți primi fișierul CSR (certificat Request), care va conține toate datele domeniilor.

Citiți conținutul fișierului CSR cu următoarea comandă:

req openssl -in% your_website% .csr -noout -Text

Asigurându-vă că cererea noastră conține toate datele pe care le puteți merge în siguranță în căutarea autorităților de certificare (pentru cei care nu au citit articolul pe link-ul de la început, acestea sunt organizații care vor face certificatul este valabil prin semnătura digitală pentru bani)

Vă recomandăm încă o dată pentru a vă asigura că fișierul server.key este stocat în siguranță, în mai multe locații. Fără aceasta, certificatul nu va funcționa. In cazul in care server.key pierdere fișier va trebui să repetați toți pașii și să cumpere un nou certificat.

După completarea Matrițele și plata necesare vă va oferi mai multe modalități de a verifica site-ul tau. De obicei, este fie pentru a crea un fișier text în rădăcina site-ului, sau adăugarea de înregistrare txt în zona DNS. Prima opțiune este mai convenabil, deoarece este nevoie de cel mai puțin timp.

Întreaga procedură nu trebuie să dureze mai mult de o oră. La ieșirea veți obține un Abracadabra de text - certificat. Acum trebuie să-l adăugați la server.

Atunci când se lucrează cu certificate SSL este foarte ușor de utilizat pagina Ssl Stuff Verificare.

Oferă următoarele instrumente:

Și în final, puteți crea un samopodpisany certificat ca aceasta:

openssl x509 -req -extensions v3_req -days 365 -in% your_website% .csr -signkey server.key -out% your_website% .crt

(Vizitat 3141 ori, 1 vizite azi)