Létrehozása ssl tanúsítvány linux

Folytatva a sort körülbelül SSL cikkek, szeretném leírni a megjelenését lépéseket tanúsítványokat.

Nem fogom megismételni a terminológiát. Az elméleti rész le van írva a cikkben: „Mi az SSL és miért eszel”

További intézkedések érvényesek Linux használatával c Openssl funkcionális csomagot.

Így kezdeni létre a biztonsági kulcsot. Fontos, hogy a fájl másolása egy félreeső helyre, mert nem fog működni anélkül, hogy a tanúsítványt.

OpenSSL genrsa kijelentkezés server.key 2048

Ezután létre a fájlt egy tanúsítvány kérése:

openssl req -új gombos server.key kijelentkezés% your_website% .csr

A lekérdezés létrehozásának folyamata akkor kérték, a következő kérdést. Természetesen, legtöbbjük maradhat válasz nélkül. Fontos csak közös név - ez a név a webhelyen. Ha ez egy hiba, a tanúsítvány nem fog működni:

Ország neve (2 kétbetűs kód) [AU]:
Állam vagy tartomány neve (teljes név) [Egyes állami]:
Hely neve (pl város) []:
Szervezet neve (pl cég) [Internet Widgits Pty Ltd]:
A szervezeti egység neve (pl, szekció) []:
Név (például szerver tartománynév vagy az Ön neve) []:
E-mail cím []:
A kihívás jelszó []:
Egy opcionális cégnév []:

Sajnos közös név elfogadja egyetlen érték, vagyis, akkor létrehoz egy tanúsítványt csak a www domain, vagy csak a domain www nélkül. Mit kell tenni? Nagyon egyszerű. Először is fel kell készülni, hogy a tanúsítvány 2 domain többe kerül, mint 1 Azaz, ha használ kapcsolatok www és www nélkül, akkor a shell meg, vagy átírják a kódot a webhelyen.

Egy másik példa az lenne, hogy pénzt takarítson meg. Azaz, egy tanúsítvány 3 domain általában a költségek kevesebb, mint 3 külön bizonyítványt. Ahogy gondoltuk akkor fogunk összpontosítani generáló igazolások több domaint vagy a többtartományos tanúsítványokat.

Annak érdekében, hogy létrehoz egy tanúsítvány kérelem több domain szerkeszteni kívánt fájlt /etc/ssl/openssl.cnf:

Ezután meg kell találni a szekció [v3_req]. Ez magában foglalja itt a következő sorokat:

basicConstraints = CA: HAMIS
keyUsage = letagadhatatlanság, digitális aláírás, keyEncipherment

Azonnal alattuk elő kell írni az alábbi konstrukciót

subjectAltName = @alt_names
[Alt_names]
DNS.1 = www.% Your_website% Com
DNS.2 = www.% Your_website% .org
DNS.3 =% your_website% .org

Alt_names tömb tartalmazza az alternatív domain neveket, hogy szerepelni fog a tanúsítványban. Nem jobb lehet eltávolítani jobb - add.

E művelet után, meg kell, hogy visszatérjen a 3 lépést hátra, és ezáltal server.key CSR.

Sajnos, egy ilyen funkció nem áll rendelkezésre az IIS, így többtartományos tanúsítványok generálása kizárólag Linux.

A kilépés kap a CSR fájlt (Certificate Request), amely tartalmazza az összes az időpontját, a domain.

Olvassa el a tartalmát a CSR fájlt a következő paranccsal:

openssl req -in% your_website% .csr -noout -rekumbens

Ügyelve arra, hogy a kérelem tartalmazza az összes adatot nyugodtan megy a keresést tanúsító hatóságok (azok számára, akik nem olvasták a cikket a linkre elején, ezek a szervezetek, melyek révén a tanúsítvány érvényes keresztül digitális aláírás a pénzéért)

Azt javasoljuk, egyszer, hogy megbizonyosodjon arról, hogy a fájl server.key biztonságosan tároljuk a több helyen. Enélkül az igazolás nem fog működni. Abban az esetben, server.key fájl elvesztése meg kell ismételni az összes lépést, és vesz egy új tanúsítványt.

Miután kitöltötte a szükséges szerszámok és fizetés lesz az Ön számára több szempontból is, hogy ellenőrizze a helyszínen. Általában ez vagy hozzon létre egy szöveges fájlt a gyökere a helyén, vagy új TXT-rekordot a DNS-zónában. Az első lehetőség sokkal kényelmesebb, hiszen a legkisebb ideig.

Az egész eljárás nem több mint egy óra. A kilépés kap egy szöveges abracadabra - tanúsítványt. Most meg kell, hogy add meg a szerver.

Amikor dolgozik az SSL tanúsítványok nagyon könnyen használható oldal SSL Stuff Check.

Kínálja a következő eszközök:

És a végén, akkor létrehozhat egy tanúsítványt samopodpisany, mint ez:

openssl X509 -req -extensions v3_req -days 365 -in% your_website% .csr -signkey server.key kijelentkezés% your_website% .crt

(Meglátogatott 3141-szer, 1 látogatók ma)