Книга: Linux-сервер своими руками

12.5.3. Генерирование сертификатов

12.5.3. Генерирование сертификатов

Сертификат гарантирует безопасное подключение к Web-серверам и (или) удостоверяет личность владельца. Идентификация обеспечивается путем применения личного ключа, известного только пользователю данной системы. Когда пользователь посещает защищенный узел для передачи секретной информации (например, номеров кредитных карточек) по протоколу https, узел автоматически пошлет ему сертификат.

Итак, давайте приступим к генерированию сертификатов. Для этого сначала выполните команду:

openssl genrsa –des3 –out server.key 1024

Она создаст файл server.key. После этого вы должны подать запрос в службу верификации:

openssl req –new –key server. key –out server.csr

Здесь вам придется ответить на вопросы. Если вы ошибетесь — ничего страшного, все можно будет повторить заново. В том случае, если запрос сгенерирован правильно, вы должны получить такую надпись:

You now have to send this Certificate Signing Request (CSR) to a Certifying Authority (CA) for signing

Отвечая на вопросы, будьте очень внимательны — ваши ответы увидит весь мир.

По всем правилам, вы сейчас должны подписать сертификат у доверенного лица, но за неимением желания платить за это деньги, подпишите сами себя:

openssl genrsa –des3 –out ca.key 1024
openssl req –new –x509 –days 365 –key ca.key –out ca.crt

В данном случае у вас получится «самоподписанный» сертификат. Если вы хотите получить полноценный сертификат, то вам придется заплатить за подпись деньги. Для этого добро пожаловать на сайт www.thawte.com. В России представителем этого сайта является solutions.rbc.ru. Компания ThawTe занимается генерированием полноценных сертификатов. Получить сертификат от ThawTe можно, естественно, за деньги. На сайте же solutions.rbc.ru просто перепродают услуги компании ThawTe.

Возвращаясь к генерированию сертификата, скопируйте sign.sh из пакета mod_ssl в каталог с ключами и подпишите себя:

./sign.sh server.csr

Если на экране появится надпись:

Now you have two files: server.key and server.crt.
These now can be used as following

то это означает, что все собрано правильно. Затем скопируйте новые файлы server.key и server.crt на место старых. Выполните команду make в каталоге с .crt-файлом.

В заключении вы получите полностью работающий Apache, защищенный SSL. Для сбора полной информации о работе SSL введите:

openssl s_client –connect localhost:443 –state –debug

Оглавление книги


Генерация: 1.890. Запросов К БД/Cache: 3 / 1
поделиться
Вверх Вниз