Создание SSL сертификатов для Вебсервера Apache + mod_ssl

Microsoft Internet Security and Acceleration (ISA) Server
Microsoft Internet Information Services
Kerio Connect
Kerio Mail Server
Kerio Firewall
UserGate
DHCP, DNS, SMTP, POP, WWW, FTP


Модератор: UncleFather

Аватара пользователя
UncleFather
Site Admin
Сообщения: 1505
Зарегистрирован: 17 авг 2004 16:20, Вт
Контактная информация:

Создание SSL сертификатов для Вебсервера Apache + mod_ssl

Сообщение UncleFather »

Чтобы сгенерировать CSR и приватный ключ в Апаче modSSL, следуйте следующим инструкциям:

Первое, что Вы должны знать - это полное имя домена (FQDN), для которого требуется сертификат.
Если Вы планируете входить на страничку https://, тогда Ваш FQDN имеет вид www.vashdomen.com.

www.vashdomen.com будет Вашим именем домена.

Сгенерируйте ключ следующей коммандой:

Код: Выделить всё

$ openssl genrsa -des3 -out www.vashdomen.com.key 1024

Эта комманда сгенерирует ключ 1024 бит RSA Private Key и запишет его в файл www.vashdomen.com.key.

Во время генерации, будет задан вопрос:

Enter pass phrase for www.vashdomen.com.key
Используйте любое слово в сочетании букв, и запомните его.

Если Вы не хотите защитить свой ключ фразой (паролем) (Только если Вы абсолютно уверены в своей машине, и имеете к ней полный доступ так, что сможете в любое время прочитать этот ключ), Вы можете тогда запустить комманду без опции -des3.

Вопрос: Для чего нужен ключ?
Ответ: Сертификат без ключа будет бесполезен!

Вопрос: Обязательно ли вводить пароль? (с опцией -des3)
Ответ: Не обязательно. Это всего лиш способ защиты, но никак не параноя.

Запишите Ваш www.vashdomen.com.key файл и сделайте запись контрольной фразы(например в записной книжке).
Хорошей идеей может служить запись файлы на дискету или отдельный диск на домашней машине.

Теперь сделайте CSR следующей коммандой:

Код: Выделить всё

$ openssl req -new -key www.vashdomen.com.key -out www.vashdomen.com.csr

--Country Name (2 letter code) [AU]:DE
--State or Province Name (full name) [Some-State]:Brandenburg
--Locality Name (eg, city) []:Schwedt/Oder
--Organization Name (eg, company) [Internet Widgits Pty Ltd]:Ich-AG Nowikow
--Organizational Unit Name (eg, section) []:Hosting
--Common Name (eg, YOUR name) []:www.vashdomen.com
--Email Address []:
hostmaster@rucable.net

--Please enter the following 'extra' attributes
--to be sent with your certificate request
--A challenge password []:
--An optional company name []:RuCable

Эта комманда, в процессе работы, будет выводить вопросы (спрашивать Вас) о X.509 аттрибутов для Вашего сертификата. Не забудьте дать имя www.vashdomen.com когда будет задан вопрос `Common Name (eg, YOUR name)'. Не вводите здесь Ваше персональное имя. Когда корневой сервер запросит имя для домена, - это имя должно будет совпадать с именем Вашего Вебсайта (требование браузеров). Таким образом Общее Название должно соответствовать FQDN вашего вебсайта.

На этом мы закончили генерацию ключа и файла подписи .csr
----------------------------------------------

Сгенерируйте временный self-signed сертификат:

Код: Выделить всё

$ openssl x509 -req -days 30 -in www.vashdomen.com.csr -signkey www.vashdomen.com.key -out www.vashdomen.com.crt

Эта комманад сгенерирует временный сертификат для Вашего сайта и запишет его в файл www.vashdomen.com.crt, который может быть использован как временный сертификат, пока Вы не купите сертификат от корневого провайдера (Thawte etc).

Теперь у Вас есть RSA частный ключ(Private Key), который находится в файле www.vashdomen.com.key
и сертификат в файле www.vashdomen.com.csr. Файл www.vashdomen.com.key - это Ваш секретный ключ, и должен быть установлен в соответствии с инструкцией для mod_ssl.

Файл www.vashdomen.com.csr - это Ваш CSR, и он выглядет примерно так:

-----BEGIN CERTIFICATE REQUEST-----
MIIBPTCB6AIBADCBhDELMAkGA1UEBhMCWkExFTATBgNVBAgTDFdlc3Rlcm4gQ2Fw
ZTESMBAGA1UEBxMJQ2FwZSBUb3duMRQwEgYDVQQKEwtPcHBvcnR1bml0aTEYMBYG
A1UECxMPT25saW5lIFNlcnZpY2VzMRowGAYDVQQDExF3d3cuZm9yd2FyZC5jby56
YTBaMA0GCSqGSIb3DQEBAQUAA0kAMEYCQQDT5oxxeBWu5WLHD/G4BJ+PobiC9d7S
6pDvAjuyC+dPAnL0d91tXdm2j190D1kgDoSp5ZyGSgwJh2V7diuuPlHDAgEDoAAw
DQYJKoZIhvcNAQEEBQADQQBf8ZHIu4H8ik2vZQngXh8v+iGnAXD1AvUjuDPCWzFu
pReiq7UR8Z0wiJBeaqiuvTDnTFMz6oCq6htdH7/tvKhhsdafasdg;lasdgpw4tER
-----END CERTIFICATE REQUEST-----

содержание этого файла CSR (www.vashdomen.com.csr) -это то что вы должны предоставить в форму,
на сайте, где Вы будете покупать сертификат.


Alexander A. Manaeff©

Понравилась статья? Будем крайне признательны за репосты в соцсетях! Материально поддержать проект можно здесь

Мои странички:
ВКонтакте
Одноклассники
Youtube
Facebook
Instagram

Изображение
Изображение
Изображение
Изображение