Lucrul cu certificate SSL, opțiuni de creare a certificatului

SSL - Secure Socket Layer. un protocol de codificare care utilizează criptarea cheii publice pentru a proteja datele transmise prin rețea. Protocolul SSL este un element important al politicii de securitate a sistemului. Certificat SSL - un document electronic folosit pentru a confirma tranzacțiile care aparțin unui anumit server și de a stabili o conexiune sigură între un client și un server cu criptare a traficului. Acesta este adesea folosit pentru a securiza serverele Web (HTTPS) sau servere de mail (IMAPS)

Procedura de creare a unui certificat SSL

  • Clientul trebuie să creeze un certificat cu toate datele necesare.
  • Trimite o cerere de certificare într-unul din „CA“ (CA). Deci, este, în acest stadiu, bednt creat cheie privată de pe mașina locală.
  • După procesarea cererii, certificatul este semnat de cheia CA. Client care are o cheie CA publică. verifica autenticitatea certificatului și apoi se poate folosi.
  • Dacă este necesar, puteți combina certificatul și cheia într-un singur fișier.

configurare OpenSSL

În acest exemplu, vom folosi directorul / locale / usr / certs. Verificați și editați fișierul /etc/ssl/openssl.cnf. în funcție de configurația.
Aici este o parte din openssl.cnf fișier de configurare. relevante pentru cazul:

Asigurați-vă că există directoarele, sau creați-le.

Dacă aveți de gând pentru a primi un certificat semnat de la orice CA. aveți nevoie pentru a trimite cererea de certificare (CSR). După procesarea cererii, certificatul va fi semnat pentru o anumită perioadă (de exemplu, 1 an).

Creați o autoritate de certificare

Dacă nu aveți un certificat semnat de un CA, și nu intenționează să trimită o cerere de certificare, vă puteți crea propriul certificat.

Cererea de certificare (CSR)

Dacă cererea dumneavoastră nu acceptă criptarea (de exemplu UW-IMAP), acesta (criptare) deconectați de opțiunea -nodes.

Salvați interogarea (newreq.pem), acesta poate fi trimis din nou pentru următoarea actualizare, semnătura limitează valabilitatea certificatului. În plus, în acest proces, cheia privată va fi creat newkey.pem.

certificat de semnătură

certificat semnat-CA este valid.
de mai jos, înlocuiți „numeserver“ la numele lor de server

Tkper servernamekey.pem - conține cheia privată și servernamecert.pem - certificat de server.

Stabilirea unui certificat comun

serverul IMAP vrea să aibă toate cheile private, și certificate de server într-un singur fișier, nu este greu de făcut, dar fișierul trebuie să fie depozitate într-un loc foarte sigur.
Servername.pem a crea un fișier care conține chei și certificate.

Versiunea finală a fișierului servername.pem. Se va arata ceva de genul:

Ceea ce avem acum în directorul / usr / local / certs /:

  • CA / privat / cakey.pem (cheia privată CA)
  • CA / cacert.pem (cheia publică CA)
  • certs / servernamekey.pem (cheia privată a serverului)
  • certs / servernamecert.pem (certificat de server semnat)
  • certs / servername.pem (certificat de server și cheia privată)

Cheia privată într-un loc sigur!