Knowledge Team





Създаване и Използване на SSL сертификати

Originally at http://www.eclectica.ca/howto/ssl-cert-howto.php

Този документ описва как да се установи като орган на главния сертификат (Root CA), използвайки инструментариума на OpenSSL. Като Root CA, вие сте в състояние да подпише и инсталирате сертификати за употреба в своите приложения за Интернет сървър, като Apache и Stunnel.

Обхват

Този документ обхваща много специфична, ограничена цел, но такъв, който отговаря на обща нужда: предотвратяване на браузър, поща, както и други клиенти от се оплакват за сертификатите, инсталирани на вашия сървър.
Не обхваща, занимаващи се с търговски орган корен сертификат (CA). Вместо това, ние ще се превърне собствените ни корен CA, и да подпишат нашите собствени сертификати.

Тези процедури са разработени с помощта на OpenSSL 0.9.6, 24 Сеп 2000 г., на Linux.

«Бърз старт»

Тези, които искат да започнете да създавате сертификати веднага, без да четете целия този документ трябва да пропускаме за обобщение в края.

Фон

Защо да бъде наша собствена Root CA? Така че можем да се възползваме на SSL криптиране, без да харчите излишни пари на нашите сертификати подписан.
Недостатък е, че браузъри ще все още се оплакват от нашия сайт не е надежден, докато ни корен сертификат се внася. Въпреки това, веднъж това се прави, ние не се различава от търговската КО корен.

Клиентите ще да внасят само нашия сертификат корен, ако те ни се доверяват. Това е, където търговските CAs идват в: те претендират да направят задълбочени изследвания в хората и организациите, за които те подписват сертификати. Чрез внос (всъщност, от браузъра доставчици, включващи) на техните надеждни главни сертификати, ние казваме, че ние им се доверите, когато те гарантират, че някой друг е този, който те твърдят, че са. Можем да се доверим допълнителни корен CAS (като нас), като се внасят своите CA сертификати.

Забележка: Ако сте в бизнеса на провеждане на търговската защитен сайт, получаване на търговски подписан сертификат е единственият реалистичен избор.

Предпоставки

Вие ще трябва инсталирано копие на OpenSSL за това, което се предлага от http://www.openssl.org. Шансовете са, той вече е инсталиран на вашата машина. Този документ не ще покрие инсталационна процедура.

Първоначална настройка

Първо, ние ще създадем директория, в която ние можем да работим. Тя не е от значение, когато това е, аз съм произволно се ще да го създаде в моята домашна директория.

# mkdir CA
# cd CA
# mkdir newcerts private

CA директория ще съдържа:
Нашите Сертификат орган (CA) сертификат
Базата данни на сертификатите, които сме подписали
Ключовете, заявки и сертификати, ние генерираме
Това ще бъде и нашата работна директория, когато създавате или подписване на сертификати.
CA / newcerts директория ще съдържа:

Копие от всеки сертификат, който подписва
CA / частни директория ще съдържа:
Нашите CA частния ключ
Този ключ е важно:
Не губете този ключ. Без него няма да бъде в състояние да подпише или подновява каквито и сертификати.
Не разкривайте това ключът към никого. Ако тя е компрометирана, други ще бъдат в състояние да ви се представяте.
Следващата ни стъпка е да се създаде база данни за сертификати, които ще подпишат:

# echo ’01′ >serial
# touch index.txt

Вместо да използвате конфигурационния файл, който идва с OpenSSL, ние ще създадем минимална конфигурация на нашите собствени, в тази директория. Започнете вашето редактор (VI, пико, …) и да създадете основна openssl.cnf:

—Begin—
#
# OpenSSL configuration file.
#

# Establish working directory.

dir = .

—-End—-

Създаване на Корен сертификат

С OpenSSL, голяма част от това, което става в удостоверението зависи от съдържанието на конфигурационния файл, а от командния ред. Това е нещо добро, защото има много да се уточни.
Конфигурационен файл е разделен на секции, които се четат избирателно и преработени в съответствие аргументи на команда линия на OpenSSL. Секциите могат да включват един или повече други секции, като се позовава на тях, което помага да направите конфигурационния файл повече модулни. А името в квадратни скоби (например [REQ] «) започва всяка секция.

Сега трябва да добавите раздел, който контролира начина, по който са създадени сертификати, както и раздел за да се определи видът на сертификат да създадете.

Първото нещо, което трябва да се уточни, е уникалното име. Това е текст, който идентифицира собственика на сертификата, когато тя е видяна. Това не е пряко посочен в конфигурационния файл, но е включено в раздел,, преработени, когато сертификат искания са създадени. Командата е «OpenSSL REQ «, така е озаглавена секцията [Req].

Добавете следните openssl.cnf:

—Begin—

[ req ]
default_bits = 1024 # Size of keys
default_keyfile = key.pem # name of generated keys
default_md = md5 # message digest algorithm
string_mask = nombstr # permitted characters
distinguished_name = req_distinguished_name

[ req_distinguished_name ]
# Variable name Prompt string
#———————- ———————————-
0.organizationName = Organization Name (company)
organizationalUnitName = Organizational Unit Name (department, division)
emailAddress = Email Address
emailAddress_max = 40
localityName = Locality Name (city, district)
stateOrProvinceName = State or Province Name (full name)
countryName = Country Name (2 letter code)
countryName_min = 2
countryName_max = 2
commonName = Common Name (hostname, IP, or your name)
commonName_max = 64

# Default values for the above, for consistency and less typing.
# Variable name Value
#—————————— ——————————
0.organizationName_default = The Sample Company
localityName_default = Metropolis
stateOrProvinceName_default = New York
countryName_default = US

[ v3_ca ]
basicConstraints = CA:TRUE
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer:always

—-End—-

За да се предпази от неоторизирано ползване на нашия сертификат CA, парола защитени. Всеки път, когато използвате сертификат CA, за да подпише искането, ще бъдете подканени за парола. Сега ще бъде добро време да вземем сигурна парола и я тури на сигурно място.
Цялата подготовка е в момента за създаване на самоподписан сертификат корен. За това, ние искаме да се преодолеят някои от настройките по подразбиране, ние просто пуснати в конфигурацията, така че ние ще се уточни отменя от командния ред.

Нашият отменя команда «OpenSSL REQ» са:

Създаване на нов самоподписан сертификат: нови-x509
Създаване на сертификат CA: разширения v3_ca
Уверете се, валиден за повече от 30 дни: дни 3650
Напиши изхода на определени места: keyout, се
Използвайте нашата конфигурационния файл:-довереник / openssl.cnf
(Бележка на срока на валидност на сертификати за корен:.. Когато корен сертификат изтича, всички на сертификатите, подписан с него вече не са валидни За да коригира тази ситуация, на нов основен сертификат трябва да бъдат създадени и разпространени Също така, всички сертификати, подписани с изтекъл срок трябва да бъде отменено и подписани с новата г. Тъй като това може да бъде много работа, искате да направите вашия корен сертификат, валиден за толкова дълго, колкото си мислиш, че ще е нужно. в този пример, ние което го прави валиден в продължение на десет години).
Изпълнете командата, както е показано. В този случай, PEM прохода фраза, той пита за нов, който трябва да въведете два пъти:

# openssl req -new -x509 -extensions v3_ca -keyout private/cakey.pem \
-out cacert.pem -days 3650 -config ./openssl.cnf
Using configuration from ./openssl.cnf
Generating a 1024 bit RSA private key
…….++++++
……………………..++++++
writing new private key to ‘private/cakey.pem’
Enter PEM pass phrase:demo
Verifying password — Enter PEM pass phrase:demo
——
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
——
Organization Name (company) [The Sample Company]:
Organizational Unit Name (department, division) []:CA Division
Email Address []:ca@sample.com
Locality Name (city, district) [Metropolis]:
State or Province Name (full name) [New York]:
Country Name (2 letter code) [US]:
Common Name (hostname, IP, or your name) []:TSC Root CA

Този процес произвежда два файла като продукция:
Частен ключ в частни / cakey.pem
Root CA сертификат в cacert.pem
cacert.pem е файла, който искате да разпространявате вашите клиенти.
Частният ключ (cakey.pem) изглежда така:

——BEGIN RSA PRIVATE KEY——
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,0947F49BB28FE5F4
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——END RSA PRIVATE KEY——

Разбира се, вие не искате да покажете това на никого! Излишно е да казвам, показано тук, е безполезен като частен ключ.
Сертификатът (cacert.pem) изглежда така:

——BEGIN CERTIFICATE——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——END CERTIFICATE——

Ние може да задава въпроси на съдържанието на този сертификат с OpenSSL, за да се научат на кого принадлежи, това, което то е валидно за т.н.:

# openssl x509 -in cacert.pem -noout -text
# openssl x509 -in cacert.pem -noout -dates
# openssl x509 -in cacert.pem -noout -purpose

Създаване на изискване за сертификат за подпис (КСО)

Сега, че ние имаме корен сертификат, ние можем да създадете произволен брой сертификати за монтаж в нашия SSL приложения като HTTPS, spop, или SIMAP. Процедурата включва създаването на частен ключ и изискват сертификат, и след това подписване на искането за генериране на сертификата.
Нашите конфигурационния файл се нуждае от още няколко дефиниции за създаване на не-CA сертификати. Добавете следното в края на файла:

—Begin—
[ v3_req ]
basicConstraints = CA:FALSE
subjectKeyIdentifier = hash

—-End—-

За да не се налага многократно да постави това на командния ред, въведете следния ред [Req] участък след distinguished_name линия, както е показано:

—Begin—
distinguished_name = req_distinguished_name
req_extensions = v3_req

—-End—-

Сега ние сме готови да създадем първото искане на сертификат. В този пример, ние ще да се създаде сертификат за сигурно POP сървър в mail.sample.com. Всичко изглежда по същия начин, както когато ние създадохме сертификата на CA, но три от последвалите указанията, за да получите различен отговор.
Организационна единица: напомняне за това, което сертификатът е за
Email Адрес: на постмастер
Общата Име: име на хост сървъра
Общото име трябва да бъде (или IP адрес трябва да разреши) името на сървъра, вашите клиенти използват, за да се свържете с вашия хост. Ако това не съвпада, всеки път, когато свържете вашите клиенти ще получите съобщение, което ги пита дали искат да използват този сървър. В резултат на клиентския софтуер казвайки: «Внимание Ти попита за mail.sample.com! Сертификат отговор машина за smtp.sample.com ли сте, че искате да продължите?»

# openssl req -new -nodes -out req.pem -config ./openssl.cnf

Organizational Unit Name (department, division) []:Mail Server
Email Address []:postmaster@sample.com
Common Name (hostname, IP, or your name) []:mail.sample.com

Този процес произвежда два файла като продукция:
Частен ключ в key.pem
Искането за сертификат за подписване в req.pem
Тези файлове трябва да се съхраняват. Когато сте на път да създаде сертификат изтича, искането може да се използва отново, за да се създаде нов сертификат с нов срока на годност. Частният ключ е разбира се, необходими за SSL криптиране. Когато запишете тези файлове, значещи имена ще помогне, например, mailserver.key.pem и mailserver.req.pem.
Искане за подписване на сертификат изглежда по следния начин:

——BEGIN CERTIFICATE REQUEST——
MIICJDCCAY0CAQAwgagxGzAZBgNVBAoTElRoZSBTYW1wbGUgQ29tcGFueTEUMBIG
A1UECxMLTWFpbCBTZXJ2ZXIxJDAiBgkqhkiG9w0BCQEWFXBvc3RtYXN0ZXJAc2Ft
cGxlLmNvbTETMBEGA1UEBxMKTWV0cm9wb2xpczERMA8GA1UECBMITmV3IFlvcmsx
CzAJBgNVBAYTAlVTMRgwFgYDVQQDEw9tYWlsLnNhbXBsZS5jb20wgZ8wDQYJKoZI
hvcNAQEBBQADgY0AMIGJAoGBAPJhc++WxcBaoDbJpzFbDg42NcOz/ELVFMU4FlPa
yUzUO+xXkdFRMPKo54d4Pf1w575Jhlu9lE+kJ8QN2st6JFySbc9QjPwVwl9D2+I3
SSf2kVTu+2Ur5izCPbVAfU0rPZxxK8ELoOkA1uwwjFz6EFuVvnHwlguonWKDtmYW
u7KTAgMBAAGgOzA5BgkqhkiG9w0BCQ4xLDAqMAkGA1UdEwQCMAAwHQYDVR0OBBYE
FLWaQsUVIQzWr58HtDinH1JfeCheMA0GCSqGSIb3DQEBBAUAA4GBAAbe0jrGEQ3i
tyVfy5Lg4/f69rKvDGs+uhZJ9ZRx7Dl92Qq2osE7XrLB1bANmcoEv/ORLZOjWZEY
NjMvuz60O7R8GKBrvb/YhAwWhIIt2LJqPkpAEWS0kY0AkoQcfZ7h6oC35+eJ7okg
Uu3WuE57RgcNt7/ftr0sG1jUyRwMLvhv
——END CERTIFICATE REQUEST——

Ние може да видите съдържанието, за да се уверите, молбата ни е правилен:

# openssl req -in req.pem -text -verify -noout

Подписване на удостоверението

Сега ние трябва да добавите раздел конфигурационния файл, който се занимава с това да Сертификат орган. Този раздел ще се определят пътища за различните парчета, като база данни, CA сертификат и частния ключ. Той също така предоставя и някои основни стойности по подразбиране. Поставете следното в openssl.cnf точно преди [Req] раздел:

—Begin—
[ ca ]
default_ca = CA_default

[ CA_default ]
serial = $dir/serial
database = $dir/index.txt
new_certs_dir = $dir/newcerts
certificate = $dir/cacert.pem
private_key = $dir/private/cakey.pem
default_days = 365
default_md = md5
preserve = no
email_in_dn = no
nameopt = default_ca
certopt = default_ca
policy = policy_match

[ policy_match ]
countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

—-End—-

За да се подпише искане, което ние направихме в предишната стъпка, изпълнява следните и да отговорят на инструкциите. Имайте предвид, че ще бъдете попитани за PEM парола избрани по-рано:

# openssl ca -out cert.pem -config ./openssl.cnf -infiles req.pem
Using configuration from ./openssl.cnf
Enter PEM pass phrase:demo
Check that the request matches the signature
Signature ok
The Subjects Distinguished Name is as follows
organizationName RINTABLE:’The Sample Company’
organizationalUnitName:PRINTABLE:’Mail Server’
emailAddress :IA5STRING:’postmaster@sample.com’
localityName RINTABLE:’Metropolis’
stateOrProvinceName RINTABLE:’New York’
countryName RINTABLE:’US’
commonName RINTABLE:’mail.sample.com’
Certificate is to be certified until Dec 8 04:37:38 2002 GMT (365 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

Този процес се актуализира базата данни на CA, и произвежда два файла като продукция:
А сертификат в cert.pem
Копие от сертификат в newcerts / . PEM
Отново можете да инспектира сертификат:

# openssl x509 -in cert.pem -noout -text -purpose | more

Сертификатът е кодирана версия, както и човешки четима версия в един и същи файл. Вие може да смъкне четима за човека част, както следва:

# mv cert.pem tmp.pem
# openssl x509 -in tmp.pem -out cert.pem

Инсталиране на сертификата и ключа

Това зависи от приложението. Някои искат ключ и сертификата в един и същи файл, а други ги искат отделно. Комбинирането им е лесно да се направи с:

# cat key.pem cert.pem >key-cert.pem

След тази стъпка, имате три за инсталиране компоненти, от които да избирате:
Частен ключ в key.pem
А сертификат в cert.pem
А комбиниран частен ключ и сертификат в ключови cert.pem
Копирайте на съответните файлове в местата, посочени от инструкциите за вашата кандидатура и система. Рестартирайте приложения, и вие сте в работата с вашия нов сертификат.
Apache

Apache има отделни директиви на конфигурация за ключ и удостоверението, така че ние пазим всеки в своя файл. Тези файлове трябва да се съхраняват извън DocumentRoot поддърво, така че може да бъде разумен структура на директория:

File Комент
/home/httpd/html Apache DocumentRoot
/home/httpd/ssl SSL-related files
/home/httpd/ssl/cert.pem Site certificate
/home/httpd/ssl/key.pem Site private key

В рамките на директива за сайт (който разбира се трябва да бъде на порт 443), включват директивите, които точка за тези файлове:


ServerName mail.sample.com
DocumentRoot /home/httpd/html
… other directives for this site …
SSLEngine on
SSLLog /var/log/ssl_engine_log
SSLCertificateFile /home/httpd/ssl/cert.pem
SSLCertificateKeyFile /home/httpd/ssl/key.pem

Stunnel

Stunnel се използва като SSL обвивка за нормална незащитени услуги като IMAP и POP. Той приема като аргументи (наред с други неща) услугата за изпълнение, както и местоположението на сертификат и частен ключ.
Ключ и удостоверението се предоставят в същия файл. Те могат да отидат навсякъде, но добра локация може да бъде / и т.н. / SSL / certs. Посочете го на линия Stunnel команда, както следва:

stunnel -p /etc/ssl/certs/key-cert.pem

Разпределяне на Сертификат CA

Това, най-накрая, е стъпка, която спира клиентите да се оплакват ненадежден сертификати. Изпратете cacert.pem на всеки, който е ще използвате защитени сървъри, така че те могат да го инсталирате в техните браузъри, пощенски клиенти и т.н. като корен сертификат.

Подновяване Сертификати

Вашето верига сертификат, може да се счупят дължи до изтичането на сертификат по два начина:
Сертификатите, които сте подписали с главната сертификат са изтекли.
Главната самия сертификат е изтекъл.
Във втория случай, вие имате някаква работа за вършене. Нов Root CA сертификат трябва да бъдат създадени и разпространени, и след това си съществуващи сертификати трябва да бъде пресъздаден или повторно подписан.
В първия случай, имате две възможности. Можете да генерира нови искания за подписване на сертификат и знак тях, описани по-горе, или (ако сте ги държи), можете да подпише оригинални искания. В двата случая, старите удостоверения трябва да бъде отменено, а след това новите сертификати, подписани и инсталирани в сигурността на вашите приложения, както е описано по-рано.

Вие не може да издава два сертификата с общото име, което е защо трябва да бъде отменено на сертификатите с изтекла. Сертификатът е в директорията newcerts, можете да определите име на файл, като посетите index.txt и търсене на общото име (CN) върху него. Името на файла е индекс плюс разширение «. PEM», например «02.pem». За да отмени сертификат:

# openssl ca -revoke newcerts/02.pem -config ./openssl.cnf
Using configuration from ./openssl.cnf
Enter PEM pass phrase: demo
Revoking Certificate 02.
Data Base Updated

Сега, когато сертификатът е бил анулиран, вие може да-подпише отново с първоначалното искане, или да създадете и да подпише нов, както е описано по-горе.

Първи търговски подписан сертификат

Процесът по същество е същото като просто демонстрира, но CA-голямата част от нея. Трябва да генерира Подписване изискване за сертификат, както е показано по-горе, и след това да го представи за подписване. Вие ще получите подписан сертификат за монтаж.
Този сертификат ще бъде автоматично доверие от браузъра на клиента, като браузъра търговски сертификат CA построен инча, Няма нужда да разпространявате нищо.

Конфигурация, описани тук, могат да бъдат недостатъчни за тази цел, тъй като има много повече, че не може да отиде в искане. Различните органи за издаване на сертификати изискват различни функции в искането за подписване на сертификат, никой от които са отишли ​​в тук. Този допълнителен материал е извън обхвата на този документ.

Публикуването на Вашата CA сертификат

Можете да пускате сертификата на вашия уеб сайт за сваляне. Ако направите това, вие също трябва да публикувате Списък на невалидните сертификати (CRL), и средство за показване на сертификат, като се има предвид неговия сериен номер. Това е извън обхвата на този документ.
Apache ще служи сертификата си във форма, разпознаваем за браузъри, ако укажете MIME тип. Например, можете да използвате разширение за име на файл за изтегляне на сертификати, и въвеждат следните в общата част на вашата конфигурация Apache «CRT».

AddType application/x-x509-ca-cert .crt

Сега можете да публикувате сертификат за сваляне с линк като <а href="www.sample.com/ourrootcert.crt"> нашия сертификат Root , и когато връзката е последвано браузъра на посетителя ще предложи да инсталиратесертификат.

РЛО може да бъде създаден, както следва:

# openssl ca -gencrl -crldays 31 -config ./openssl.cnf -out rootca.crl

Обобщение

Вие сега имате достатъчно информация, за да създават и подписват сертификати от свое име. Въпреки, че това е доста дълъг документ, процедурата може да бъдат обобщени по-лесно.

One-Time Setup

Създаване и създаде основен сертификат CA.

Popular article:

  • Clipart Collection
  • SEO News
  • HELGA LOVEKATY WHERE
  • ESPANOL ALFABETO
  • OLD MAN RUNNING
  • KYOTO SIGHTSEEING MAP ENGLISH
  • JOSEI MANGA
  • HOT PRETTY GIRLS
  • HUMAN KNEE