#language cs ## 25.08.2015 AK ---- '''česky''' | [[SimpleApacheCert|english]] ---- ## Zde je popsán jednoduchý certifikát pro Apache (SimpleApacheCert)... ## stránka byla přejmenována z KnowledgeBase/Server/SimpleApacheCert ## stránka byla přejmenována z SimpleApacheCert . '''NOTA BENE - ROZPRACOVÁNO''' (WORK IN PROGRESS) - [[SimpleApacheCert/CZ#Příspěvky_a_úvahy|Vaše příspěvky a úvahy]] :-) . '''K Technologii''' '''[[Technology#Technology_Knowledge_Base| Báze znalostí]]''' - '''K Technologii ''' '''[[Technology/KnowledgeBase| Báze znalostí - přehled]]''' - '''K Technologii''' '''[[Technology/KnowledgeBase/Server| Báze znalostí - server]]''' - Tento článek najdete také na '''Podpoře''' pro '''[[Technology/TechnicalSupport/SysAdmin| Správce systému]]''' ---- == Jak vytvořit jednoduchý certifikát v Apache == . Napsal [[DanielBlack]] . Nejdříve jděte do [[http://httpd.apache.org/docs/trunk/ssl/index.html#mod-ssl|dokumentace mod_ssl]], kde je základní konfigurace mod_ssl. Já však nebudu postupovat podle mod_ssl, ale pokusím se ukázat Vám způsob, jak získat a instalovat certifikát CAcert. . Chcete-li certifikát pro jediný web se serverem Apache, je toto pravděpodobně nejjednodušší způsob, jak získat certifikát podepsaný CAcertem. Ve složitějších případech se podívejte na [[Technology/TechnicalSupport/SysAdmin/ApacheServer/CZ|ApacheServer]] a VhostsApache. . Tento návod by měl fungovat s Apache 2.x na Unixech a Windows, pravděpodobně i na jiných systémech. . Když Apache běží v mod_ssl, budete muset zaregistrovat doménovou složku svého webového serveru (například "example.org" pro server "www.example.org") ve svém účtu CAcert. Jděte tedy na [[https://www.cacert.org|hlavní stránku CAcert]], přihlaste se, z menu (vpravo) zvolte "Domény -> Přidat" a postupujte podle nápovědy. Zobrazuje-li se u Vaší domény (v "Domény" -> "Zobrazit") slovo "Ověřeno", můžete pokračovat a vygenerovat si certifikát pro svůj server. . Získejte openssl, pokud už není instalováno na Vašem systému. Nemůžete-li je najít jinde, zkuste [[http://www.openssl.org/related/binaries.html|openssl web]], kde je binární verze pro Windows. . Vygenerujte si žádost o podpis certifikátu (CSR) příkazem: {{{ '''''Jeden krok''''' openssl req -newkey rsa:4096 -subj /CN= -nodes -keyout -out }}} {{{ '''''Dva kroky''''' openssl genrsa -out 4096 openssl req -new -key -out }}} . Příklad: {{{ openssl req -newkey rsa:4096 -subj /CN=www.example.org -nodes -keyout example_key.pem -out example_csr.pem }}} . generuje CSR pro server '''''www.example.org''''' do souboru '''''example_csr.pem''''' a uloží příslušný '''nezašifrovaný''' privátní klíč do souboru '''''example_key.pem'''''. . Když Vás skript openssl požádá, odpovězte na tyto otázky: || '''Otázka OpenSSL''' || '''Příklad odpovědi''' || '''Poznámky''' || || Country Name (2 letter code) [DE]: || CZ ||<#ff8080> později bude odstraněno || || State or Province Name (full name) [Some-State]: || Jihomoravský ||<#ff8080> později bude odstraněno || || Locality Name (eg, city) []: || Brno ||<#ff8080> později bude odstraněno || || Organization Name (eg, company) [Internet Widgits Pty Ltd]: || @doma ||<#ff8080> později bude odstraněno || || Organizational Unit Name (eg, section) []: || ||<#ff8080> později bude odstraněno || || Common Name (e.g. server FQDN or YOUR name) []: || testserver3.mojedom.cz ||<#00FF00> později bude použito ke kontrole || || Email Address []: || primární.e-mail.z.mého.účtu.u.CAcert ||<#00FF00> později bude použito ke kontrole || ||<-3> Please enter the following 'extra' attributes || ||<-3> to be sent with your certificate request || || A challenge password []: || || || || An optional company name []: || || || . Jděte na [[https://www.cacert.org|CACert]], přihlaste se a z menu zvolte "Certifikáty serveru -> Nový". Je-li Vám dostupný certifikát třídy 3, zvolte ho. . Použijte Kopírovat/Vložit (Copy/Paste) pro vložení své žádosti o podpis certifikátu (CSR, obsah souboru '''''example_csr.pem''''' v našem příkladu) do velkého textového pole. Vložte i úvodní a koncový řádek: {{{ -----BEGIN CERTIFICATE REQUEST----- }}} . a {{{ -----END CERTIFICATE REQUEST----- }}} . a zkontrolujte, že po vložení není žádost zkrácena. . Stiskněte "Odeslat" a Váš certifikát bude vygenerován. Ovšem jen pokud jste neudělali chybu. Když ano, přečtěte si hlášení chyby, pokuste se pochopit, co Vám říká a zkuste to znovu bezchybně. ;) . Použijte Kopírovat/Vložit (Copy/Paste) svého oblíbeného editoru pro uložení certifikátu do souboru (s názvem dejme tomu example_cert.pem). . Přesuňte privátní klíč a certifikát do vhodného umístění (adresáře). Standardní instalace Apache vytvářejí v konfiguračním adresáři podadresáře ssl.key pro privátní klíč a ssl.crt pro certifikát. Chcete-li si zachovat i CSR (i když ho asi už nikdy nebudete potřebovat), je tu i adresář s názvem ssl.csr. . Při používání certifikátu třídy 3, jak navrhuji, budete potřebovat soubor řetězu certifikátů. Jsou to zřetězené certifikáty třídy 3 a třídy 1, uložené ve formátu PEM. Můžete ho vytvořit sami nebo stáhnout z [[attachment:CAcert_chain.pem|této přílohy]]. . Uložte soubor řetězu certifikátů do adresáře ssl.crt a nazvěte ho CAcert_chain.pem pro pozdější odkazy. . Zbývá už jen správně konfigurovat mod_ssl v Apache. Sadu certifikátů použijte v těchto direktivách své konfigurace SSL: . {{{ SSLCertificateFile /example_cert.pem SSLCertificateKeyFile /example_key.pem SSLCertificateChainFile /CAcert_chain.pem . }}} . A je to vše. Restartujte Apache a zkontrolujte, jak pracuje! === Obnova existujícího certifikátu === . Pro obnovu certifikátu existující konfigurace Apache potřebujete certifikát obnovit pomocí [[https://www.cacert.org/account.php?id=12|webového interface CAcert]] a pak nahradit existující certifikát (v našem příkladu `/example_cert.pem`) nově získaným certifikátem. ---- == Příspěvky a úvahy == . RRRRMMDD-[[Vaše_jméno]] . {{{ Text / Vaše příspěvky, úvahy a úryvky e-mailů - prosím sem }}} ---- . CategoryGuide