Önaláíró SSL tanúsítványt, hogy létrehoz egy tanúsítványt
Önaláíró SSL tanúsítvány létrehozásához
SSL tanúsítványok titkosításához használt továbbított információk nyilvános hálózaton. A tanúsítványok segítségével az építőiparban a postai rendszer, és (sokkal gyakrabban) fel van szerelve a tartomány, hogy hozzáférjen az oldalon keresztül egy webböngésző 443-as portot Csakis https kapcsolatot végezzen pénzügyi tranzakciókat az oldalakon az online kereskedési rendszerek.
SSL tanúsítványok és kulcsok generálható minden Linux szerver, jele annak szükségességét sertfikatsionnye központok és tanúsítványok is alá kell írnia függetlenül. Böngésző elérésekor a helyszínen dolgozó saját aláírású SSL tanúsítványt ad ki figyelmeztetést a lehetetlen, hogy biztosítsa a biztonságos kapcsolatot, de gyakran ez a lehetőség is használják.
Hogyan kell generálni a saját aláírású igazolást a Linux szerveren
Hogy létrehoz egy önmaga által aláírt tanúsítványt kell telepíteni a szerver OpenSSL csomag (gyakran ez alapértelmezés szerint telepítve)
apt-get install openssl
Létrehozott kulcs fájl genrsa csapat. ugyanakkor azt mutatja, hogy milyen típusú titkosítást rsa
OpenSSL genrsa -des3 kijelentkezés távoli-tech-support.key 2048
Megkapjuk a privát kulcsot
Arra kérjük a jelszót (passfrase), amely a kért teljesítmény a fenti parancs
Változás a jogot, hogy a kulcs fájl
chmod 600 remote-tech-support.key
Létre egy tanúsítvány kérelem alapján a legfontosabb
openssl req -új gombos távirányító-tech-support.key kijelentkezés távoli-tech-support.csr
Hozzon létre egy tanúsítvány 365 napig alapján kérésünkre generált az előző lépésben; tanúsítványt írja alá a legfontosabb
openssl X509 -days 365 -in távoli-tech-support.csr -signkey távoli-tech-support.key kijelentkezés távoli-tech-support.crt
Amikor mi, hogy minden tranzakció a privát kulcs rendszer kér jelszót. Nem adja meg minden egyes alkalommal, amikor a következő műveleteket. .nopass generálja a kulcsot, és cserélje ki a korábban használt kulcsot.
openssl rsa -in remote-tech-support.key kijelentkezés távoli-tech-support.key.nopass
mv remote-tech-support.key.nopass remote-tech-support.key
Ezt követően a jelmondat már nincs szükség
Létrehoz .pem fájlt egy kulcsot és egy igazolás arról, hogy aláírja a generált bizonylaton a szerveren (a tanúsítványok kibocsátására és jelszavát minősítő hatóság. CA)
openssl REQ -új -x509 -extensions v3_ca -keyout cakey.pem kijelentkezés cacert.pem -days 365
Változás a jogosultságokat a fájlt, amely tartalmazza a legfontosabb, hogy a tartomány és a fájl rasshireniem.pem
chmod 600 remote-tech-support.key
chmod 600 cakey.pem
Az utolsó lépés, hogy a fájlokat egy speciálisan számukra létrehozott könyvtár
mv remote-tech-support.key / etc / ssl / private /
mv remote-tech-support.crt / etc / ssl / certs /
mv cakey.pem / etc / ssl / private /
mv cacert.crt / etc / ssl / certs /
Az út most meg kell határozni, amikor beállítjuk a különböző szoftverek, tanúsítványokat használ: Web (Apache nginx). És e-mail szerver (Postfix Exim Dovecot ..).
Cikkében ismertetett algoritmus tökéletesen működik Ubuntu, amikor megpróbálja a szerveren Debian 7 parancsot:
openssl X509 -days 365 -in távoli-tech-support.csr -signkey távoli-tech-support.key kijelentkezés távoli-tech-support.crt
nem tudja betölteni tanúsítvány
140667608573608: error: 0906D06C: PEM rutin: PEM_read_bio: nem startvonalon: pem_lib.c: 696: Várandós: megbízható tanúsítványt
A probléma nem a megfelelő formátumban a generált fájl
Úgy döntött Debian csere, sőt, az összes fenti parancsokat egyetlen cikkben
openssl REQ -új -x509 -days 365 -nodes kijelentkezés /etc/ssl/localcerts/remote-tech-support.pem -keyout /etc/ssl/localcerts/remote-tech-support.key
Mielőtt végrehajtja szükséges létrehozni az / etc / ssl / localcerts