 |
Získanie a inštalácia certifikátu pre Apache web server
Pre získanie a inštálaciu certifikátu v Apache web servri budete musieť
vykonať nasledujúce kroky:
Inštalácia potrebných komponentov
Pre použitie serverových certifikátov DTCA v serveri Apache je potrebné mať
okrem samotného serveru nainštalovaný program, ktorý rozširuje Apache o
podporu pre bezpečný protokol HTTPS (mod_ssl) a nástroj pre podporu
kryptografie s verejným kľúčom (OpenSSL). Všetky potrebné informácie ohľadom
inštalácie servera Apache ako aj distribúcie OpenSSL a mod_ssl je možné
nájsť na nasledujúcich stránkach:
Generovanie kľúča a vytvorenie žiadosti o certifikát
-
Vygenerujte súkromný kľúč servera nasledujúcim príkazom:
$ openssl genrsa -des3 -out server.key 1024
Tento príkaz vygeneruje 1024 bitový súkromný kľúč a uloží ho do súboru
server.key. Program sa vás zároveň spýta na heslo, ktoré slúži na ochranu
súkromného kľúča. Bez súkromného kľúča bude váš certifikát nepoužiteľný,
preto je potrebné si zadané heslo dobre zapamätať. Ak nechcete chrániť svoj
súkromný kľúč heslom, môžete použiť predchádzajúci príkaz bez voľby -des3.
-
Vygenerujte žiadosť o certifikát nasledujúcim príkazom:
$ openssl req -new -key server.key -out server.csr
Tento príkaz sa vás bude pýtať na položky, ktoré budú uvedené v
certifikáte. Do povinnej položky 'Common Name' je potrebné zadať úplný názov
vášho servera (Fully Qualified Domain Name) tak, ako je uvedený v DNS
zázname (napr. www.yourdomain.sk). Ďalšou povinnou položkou je 'Country' a v
prípade certifikátu pre organizáciu aj "Organisation". Ostatné položky
(Organisation Unit, Location, State/Province, ...) sú voliteľné.
-
Teraz máte svoj RSA súkromný kľúč uložený v súbore server. key a žiadosť o
certifikát uloženú v súbore server.csr. Obsah súboru server.csr vyzerá
približne nasledovne:
-----BEGIN CERTIFICATE REQUEST-----
MIIBPTCB6AIBADCBhDELMAkGA1UEBhMCWkExFTATBgNVBAgTDFdlc3Rlcm4gQ2Fw
ZTESMBAGA1UEBxMJQ2FwZSBUb3duMRQwEgYDVQQKEwtPcHBvcnR1bml0aTEYMBYG
A1UECxMPT25saW5lIFNlcnZpY2VzMRowGAYDVQQDExF3d3cuZm9yd2FyZC5jby56
YTBaMA0GCSqGSIb3DQEBAQUAA0kAMEYCQQDT5oxxeBWu5WLHD/G4BJ+PobiC9d7S
6pDvAjuyC+dPAnL0d91tXdm2j190D1kgDoSp5ZyGSgwJh2V7diuuPlHDAgEDoAAw
DQYJKoZIhvcNAQEEBQADQQBf8ZHIu4H8ik2vZQngXh8v+iGnAXD1AvUjuDPCWzFu
pReiq7UR8Z0wiJBeaqiuvTDnTFMz6oCq6htdH7/tvKhh
-----END CERTIFICATE REQUEST-----
Návšteva registračnej autority
S takto vytvorenou žiadosťou sa dostavte na niektorú z
registračných autorít DTCA, kde bude vaša žiadosť
spracovaná a bude Vám vydaný certifikát. Celý postup vydania certifikátu
a zoznam dokumentov,
ktoré budete musieť predložiť pri návšteve registračnej
autority nájdete na tejto stránke.
Inštalácia certifikátu
-
Súbor s certifikátom vo formáte PEM, ktorý ste získali od DTCA premenujte na
súbor s názvom server.crt a uložte ho na vašom serveri.
-
V súbore mod_ssl.conf, ktorý obsahuje vaša konfigurácia apache (zvyčajne
/etc/apache/mod_ssl.conf, ale závisí od distribúcie) nájdite sekciu, v
ktorej sú uvedené relatívne cesty k certifikátu (server.crt) a k súkromnému
kľúču (server.key) a nastavte ich v závislosti od miesta ich uloženia na
vašom serveri. Napríklad:
SSLCertificateFile /etc/apache/ssl.crt/server.crt
SSLCertificateKeyFile /etc/apache/ssl.key/server.key
Nastavenie ďalších parametrov modulu mod_ssl je možné dohľadať v
dokumentácii.
-
Po inštalácii certifikátu je potrebné reštartovať Apache web server aj s
podporou SSL (viď dokumentácia k serveru Apache, zvyčajne s použitím
argumentu startssl). Ak ste si pri generovaní súkromného kľúča zvolili
možnosť jeho ochrany s použitím hesla, Apache vás pri reštarte vyzve na jeho
zadanie.
|
 |
|
|
|
|
O spoločnosti