česky | english
NOTA BENE - ROZPRACOVÁNO - Vaše příspěvky a úvahy
Pro Technology Báze znalostí - Pro Technology Báze znalostí - přehled - Pro Technology Báze znalostí - serverové certifikáty - Tento článek je také v podpoře pro správce systému (System Administrators)
Vytváření jednoduchých certifikátů Apache
Tato stránka popisuje základní nastavení. Pro důmyslnější použití a další odkazy nahlédněte do dokumentace mod_ssl.
Chcete-li pouze certifikát pro Apache server na jednom webu, je toto pravděpodobně nejjednodušší způsob, jak získat CAcertem podepsaný certifikát. Ve složitějších případech konzultujte Server Apache a Generátor žádosti pro Apache.
Tento návod by měl fungovat s Apache 2.x na Unixech a Windows. Pravděpodobně také na jiných systémech.
Jakmile Apache běží s mod_ssl, budete muset registrovat doménovou část názvu Vašeho webového serveru (například "example.org" pro server "www.example.org") ve svém účtu u CAcert. Jděte tedy na domovskou stránku CAcert, přihlaste se, zvolte menu "Domény -> Přidat" a postupujte podle zobrazených instrukcí. Je-li Vaše doména zobrazena v "Domény -> Zobrazit" jako "Ověřeno", můžete pokračovat a vygenerovat si certifikát pro svůj server.
Získejte openssl, pokud ještě není instalováno ve Vašem systému. Nemůžete-li ho najít jinde, zkuste openssl web, kde je binární verze pro Windows.
- Vygenerujte žádost o podpis certifikátu (CSR) příkazem:
openssl req -newkey rsa:2048 -subj /CN=<FQDN název Vašeho serveru> -nodes -keyout <název souboru pro Váš privátní klíč> -out <název souboru pro žádost o podpis certifikátu (CSR)>
Například openssl req -newkey rsa:2048 -subj /CN=www.example.org -nodes -keyout example_key.pem -out example_csr.pem vygeneruje CSR pro server www.example.org do souboru example_csr.pem a uloží odpovídající nezašifrovaný privátní klíč do souboru example_key.pem.
Jděte na CACert, přihlaste se a zvolte menu "Certifikáty serveru -> Nový". [Máte-li dostupný zprostředkující certifikát třídy 3, vyberte raději certifikát třídy 3.]
Použijte Kopírovat/Vložit k vložení svojí CSR (tedy obsahu souboru example_csr.pem v předchozím příkladu) do velkého pole, včetně řádků na začátku a na konci žádosti ( -----BEGIN CERTIFICATE REQUEST----- a -----END CERTIFICATE REQUEST----- ) a zkontrolujte, že je vložena celá a úplná žádost. [Označte také, že souhlasíte s Dohodou komunity CAcert (CCA).]
Stiskněte "Odeslat" a Váš certifikát bude vygenerován. Pokud jste tedy neudělal(a) chybu. Jestliže ano, přečtěte si chybové hlášení, snažte se pochopit, co se Vám snaží říci a zkuste to znovu bezchybně.
- Použijte Kopírovat/Vložit (do svého oblíbeného editoru) k uložení certifikátu do souboru (řekněme s názvem example_cert.pem).
- Přesuňte privátní klíč a certifikát do vhodného místa. Standardní instalace Apache poskytují v konfiguračním adresáři podadresáře ssl.key pro privátní klíč a ssl.crt pro certifikát. Chcete-li uschovat CSR pro pozdější potřebu (i když už ho asi potřebovat nebudete), je tam i podadresář nazvaný ssl.csr.
Použijete-li certifikát třídy 3, jak navrženo, budete potřebovat soubor pro řetěz certifikátů. To jsou prostě kořenové certifikáty třídy 3 a třídy 1 ve formátu PEM, uložené v souboru jeden za druhým. Udělejte to sami, nebo stáhněte tento hotový soubor: attachments.
- Uložte soubor řetězu certifikátů do adresáře ssl.crt pod názvem CAcert_chain.pem pro budoucí potřebu.
- Nyní už jen správně konfigurujte mod_ssl v serveru Apache. Pro použití sady certifikátů nastavte do své konfigurace SSL údaje:
SSLCertificateFile <Cesta k Vašemu souboru certifikátů>/example_cert.pem SSLCertificateKeyFile <Cesta k Vašemu souboru klíčů>/example_key.pem SSLCertificateChainFile <Cesta k Vašemu souboru řetězu certifikátů>/CAcert_chain.pem
- To je vše. Restartujte svůj Apache a sledujte, jak funguje!
Příspěvky a úvahy
13.11.2009-RogerCPao
#!/bin/sh wget http://www.cacert.org/certs/root.txt wget http://www.cacert.org/certs/class3.txt cat class3.txt root.txt > CAcert_chain.pem
16.11.2009-Martin N Brampton /e-mail
Díky mnohé, teď jsem to zjistil. Polovina problému je, že moje servery běží s WHM/cPanel a je těžké vidět tou módní věcí skutečnou konfiguraci Apache. Nyní jsem přidal certifikát CA do ca-bundle.crt a upravil konfiguraci Apache, aby ten soubor odkazovala. Myslím, že předtím tam žádná certifikace certifikační autoritou nebyla. S úctou Martin
- YYYYMMDD-Vaše_jméno
Text / Vaše příspěvky, úvahy a e-mailové výstřižky, prosím
- YYYYMMDD-Vaše_jméno
Text / Vaše příspěvky, úvahy a e-mailové výstřižky, prosím
Kategorie nebo Více kategorií