Vytváření jednoduchých certifikátů Apache

Tato stránka popisuje základní nastavení. Pro důmyslnější použití a další odkazy nahlédněte do dokumentace mod_ssl.

Chcete-li pouze certifikát pro Apache server na jednom webu, je toto pravděpodobně nejjednodušší způsob, jak získat CAcertem podepsaný certifikát. Ve složitějších případech konzultujte Server Apache a Generátor žádosti pro Apache.

Tento návod by měl fungovat s Apache 2.x na Unixech a Windows. Pravděpodobně také na jiných systémech.

  1. Jakmile Apache běží s mod_ssl, budete muset registrovat doménovou část názvu Vašeho webového serveru (například "example.org" pro server "www.example.org") ve svém účtu u CAcert. Jděte tedy na domovskou stránku CAcert, přihlaste se, zvolte menu "Domény -> Přidat" a postupujte podle zobrazených instrukcí. Je-li Vaše doména zobrazena v "Domény -> Zobrazit" jako "Ověřeno", můžete pokračovat a vygenerovat si certifikát pro svůj server.

  2. Získejte openssl, pokud ještě není instalováno ve Vašem systému. Nemůžete-li ho najít jinde, zkuste openssl web, kde je binární verze pro Windows.

  3. Vygenerujte žádost o podpis certifikátu (CSR) příkazem: 
    openssl req -newkey rsa:2048 -subj /CN=<FQDN název Vašeho serveru> -nodes -keyout <název souboru pro Váš privátní klíč> -out <název souboru pro žádost o podpis certifikátu (CSR)>

    Například openssl req -newkey rsa:2048 -subj /CN=www.example.org -nodes -keyout example_key.pem -out example_csr.pem vygeneruje CSR pro server www.example.org do souboru example_csr.pem a uloží odpovídající nezašifrovaný privátní klíč do souboru example_key.pem.

  4. Jděte na CACert, přihlaste se a zvolte menu "Certifikáty serveru -> Nový". [Máte-li dostupný zprostředkující certifikát třídy 3, vyberte raději certifikát třídy 3.]

  5. Použijte Kopírovat/Vložit k vložení svojí CSR (tedy obsahu souboru example_csr.pem v předchozím příkladu) do velkého pole, včetně řádků na začátku a na konci žádosti ( -----BEGIN CERTIFICATE REQUEST-----  a  -----END CERTIFICATE REQUEST----- ) a zkontrolujte, že je vložena celá a úplná žádost. [Označte také, že souhlasíte s Dohodou komunity CAcert (CCA).]

  6. Stiskněte "Odeslat" a Váš certifikát bude vygenerován. Pokud jste tedy neudělal(a) chybu. Jestliže ano, přečtěte si chybové hlášení, snažte se pochopit, co se Vám snaží říci a zkuste to znovu bezchybně. ;)

  7. Použijte Kopírovat/Vložit (do svého oblíbeného editoru) k uložení certifikátu do souboru (řekněme s názvem example_cert.pem).
  8. Přesuňte privátní klíč a certifikát do vhodného místa. Standardní instalace Apache poskytují v konfiguračním adresáři podadresáře ssl.key pro privátní klíč a ssl.crt pro certifikát. Chcete-li uschovat CSR pro pozdější potřebu (i když už ho asi potřebovat nebudete), je tam i podadresář nazvaný ssl.csr.

  9. Použijete-li certifikát třídy 3, jak navrženo, budete potřebovat soubor pro řetěz certifikátů. To jsou prostě kořenové certifikáty třídy 3 a třídy 1 ve formátu PEM, uložené v souboru jeden za druhým. Udělejte to sami, nebo stáhněte tento hotový soubor: attachments.

  10. Uložte soubor řetězu certifikátů do adresáře ssl.crt pod názvem CAcert_chain.pem pro budoucí potřebu.
  11. Nyní už jen správně konfigurujte mod_ssl v serveru Apache. Pro použití sady certifikátů nastavte do své konfigurace SSL údaje: 
    SSLCertificateFile <Cesta k Vašemu souboru certifikátů>/example_cert.pem
SSLCertificateKeyFile <Cesta k Vašemu souboru klíčů>/example_key.pem
SSLCertificateChainFile <Cesta k Vašemu souboru řetězu certifikátů>/CAcert_chain.pem
  12. To je vše. Restartujte svůj Apache a sledujte, jak funguje!


Příspěvky a úvahy


Kategorie nebo Více kategorií

CategoryGuides

Technology/KnowledgeBase/Server/SimpleApacheCert/CZ (last edited 2015-09-16 21:37:36 by AlesKastner)