Igazolások, az orosz nyelvű leírás ubuntu
Az egyik leggyakoribb formája a Napjainkban a titkosítás nyilvános kulcsú titkosítás. Kriptográfia nyilvános kulcs nyílt (nyilvános) és magán (titkos) kulcsot. A rendszer végrehajtja titkosítást használ a nyilvános kulcsot. Megfejtette, ezeket az információkat csak egy privát kulcsot.
A közös használatát kriptográfia, nyilvános kulcs - titkosítására alkalmazások forgalmának az SSL és TLS protokollokat. Például az Apache beállítás, HTTPS, SSL feletti HTTP. Ez lehetővé teszi, hogy alkalmazza a forgalmi titkosítási protokollt, amely önmagában nem támogatja a titkosítást.
Certificate - ez a terjesztésére használt módszer egy nyilvános kulcsot és egyéb információkat a szerver és a szervezet a felelős. A tanúsítványokat digitálisan aláírt, melyet egy Certificate Authority, vagy CA CA - egy harmadik fél, hogy igazolja, hogy az információ a tanúsítványban szereplő helyes.
Ahhoz, hogy kialakít egy biztonságos szerver segítségével nyilvános kulcsú titkosítás, a legtöbb esetben el kell küldenie a hitelesítési kérést (a nyilvános kulcs), igazolás a cég azonosságának és fizetési hitelesítésszolgáltató. Center ellenőrzi a hitelesítési kérést és az azonosságot, majd választ küld a tanúsítványt a szerver. Másik lehetőség, hogy használja a saját aláírású tanúsítványt.
Megjegyezzük, hogy a saját maga által aláírt tanúsítvány nem használható éles környezetben.
Folytatva a példát HTTPS igazolást a CA által aláírt, két fontos tulajdonságokat, szemben a saját maga által aláírt tanúsítvány:
A böngészők (általában) automatikusan felismerik a tanúsítványt, és lehetővé teszik a biztonságos kapcsolat nélkül figyelmezteti a felhasználót.
Amikor egy CA aláírt tanúsítványt ad, ez garantálja a személyazonosságát a szervezet, amely a weboldalakat a böngésző.
A legtöbb internetes böngésző és a számítógépek, amelyek támogatják az SSL egy listát a CA, amelyek tanúsítványait automatikusan elfogadja. Ha a böngésző olyan tanúsítványt észlelt, amelynek megnyugtató központ nem kap ez a lista, arra kéri a felhasználót, hogy erősítse a kapcsolatot, vagy tiltani. Azonban más alkalmazások hibaüzenetet küld, ha egy saját aláírású tanúsítványt használ.
A folyamat egyre tól tanúsítvány CA meglehetősen egyszerű. Egy rövid áttekintést ad az alábbiakban mutatjuk be:
Készítsen egy pár nyilvános és titkos kulcsokat.
Hozzon létre egy tanúsítvány kérelem alapján a nyilvános kulcs. A tanúsítvány kérelem tartalmaz információt a szerveren, és kezelni a cég.
Küldje el a tanúsítvány kérelem, valamint igazoló dokumentumokat személyazonosságát, a CA Nem tudjuk, hogy melyiket válassza. A döntés alapja lehet a múltbeli tapasztalatok, a tapasztalat, a barátok és a kollégák, vagy pusztán az ár tényező. Miután eldöntötte, hogy a CA, meg kell követni az utasításokat, hogy hogyan kapják tanúsítványt.
Amikor a központ, hogy megbizonyosodjon arról, hogy valóban az, akinek mondja ők, akkor elküldi a digitális tanúsítványt.
Telepítse ezt a tanúsítványt a biztonságos kiszolgálóra, és állítsa be a megfelelő alkalmazásokat használni.
Függetlenül attól, hogy kap egy igazolást egy CA-tól, vagy hozzon létre samopodpisany, az első lépés, hogy hozzon létre egy kulcsot.
Ha a tanúsítvány által használt rendszer szolgáltatások, mint például az Apache, Postfix, Dovecot stb Helyénvaló létrehozni egy kulcs jelszó nélkül. Nincs jelszó lehetővé teszi a szolgáltatás elindításához minimális emberi beavatkozással, általában előnyös megvalósítási módja a szolgáltatás elindítása.
Ez a rész bemutatja, hogyan lehet létrehozni egy kulcsot a kódszó (jelszó), vagy anélkül. Passwordless kulcs ezután arra használhatjuk, hogy a tanúsítvány, hogy lehet használni a különböző rendszereket.
Futás a biztonságos szolgáltatás jelmondat nélküli kényelmes, mert nem kell írnia minden alkalommal a kezdete a szolgáltatás. Azonban ez nem biztonságos, és a legfontosabb kompromisszum azt jelenti, kompromisszum és a szerver.
A kulcs generáló CSR kérést futtassa a következő parancsot a terminálban:
Most adja meg jelszavát. nem kevesebb, mint nyolc karakter ajánlott nagyobb biztonság. A minimális hossza használatakor -des3 - 4 karakter. A kifejezés magában kell foglalnia számokat és / vagy írásjelek, és nem kell egy szót a szótárban. Továbbá ne felejtsük el, hogy a kifejezés a kis- és nagybetűket.
Írja be újra az ellenőrzést. Abban az esetben, a megfelelő bemenet kiszolgáló kulcsot generálunk, és rögzíteni kell a server.key fájlt.
Most hozza létre a bizonytalan jelmondat nélküli kulcs, és változtassa meg a nevét a gombok:
Bizonytalan kulcs most hívott server.key, és akkor tudja használni, hogy hozzon létre egy jelmondat nélküli CSR.
Létrehozásához a CSR, futtassa a következő parancsot a terminálban:
A rendszer kérni fogja a jelszót (a jelszó segítségével kulcs - egy sáv ..). Ha megadja a helyes kifejezés, a program kéri a cég nevét, a webhely neve, e-mail, stb. Megadása után ezeket a részleteket, a CSR kérés jön létre, és menti server.csr fájlt.
Most lehet rendezni a CSR fájlt egy CA feldolgozásra. CA használja ezt a fájlt az igazolást kiállítani. Másrészt, akkor létrehozhat egy önmaga által aláírt tanúsítványt, és ugyanazon a CSR.
Ahhoz, hogy hozzon létre egy saját aláírású igazolást, futtassa a következő parancsot a terminálban:
Ez a parancs bekéri a jelszót. Miután megadta a helyes kifejezést, akkor a tanúsítvány kerül létrehozásra és mentett server.crt fájlt.
Ha kiszolgálóját fogja használni a termelés, akkor szükség lehet egy igazolást által aláírt igazolást hatóság. Ebben az esetben a használata önaláírt tanúsítványok nem ajánlott.
Akkor a fájlok telepítéséhez server.key kulcsot és tanúsítványt server.crt (vagy a tanúsítvány fájl által kiadott CA), a futás a következő parancsot a terminálban:
Most egyszerűen konfigurálható bármilyen alkalmazás képes használni titkosítás nyilvános kulcs segítségével ezeket kulcsot és tanúsítványt fájlokat. Például, Apache a HTTPS, Dovecot biztosít IMAPS és POP3S
Ha a szolgáltatás a hálózaton többet igényelnek önálló aláírt tanúsítványokat hasznos lehet extra erőfeszítést felállítása a saját belső hitelesítésszolgáltató (CA). Aláírt tanúsítványok használata által a központ lehetővé teszi, hogy a különböző szolgáltatások tanúsítványok használatával könnyedén megbízik egyéb szolgáltatásokat használó által kibocsátott azonos CA
1. Először hozz létre egy könyvtárat, hogy tárolja a CA tanúsítványt, és a szükséges fájlokat:
2. A minősítő hatóság igényel további fájlokat működését; Egy tárolni az utolsó használt sorozatszám CA, a másik tanúsítványok rögzítésére került sor:
3. A harmadik fájl - egy konfigurációs fájl CA. Bár ez nem feltétlenül szükséges, de nagyon hasznos a termelés több tanúsítványokat. Szerkesztése /etc/ssl/openssl.cnf, a változó a [CA_default].
4. Ezután hozzon létre egy saját aláírású igazolást:
Meg fogják kérni a részleteket a tanúsítvány.
5. Most telepítse a gyökér tanúsítvány és kulcs:
6. Most már készen áll a tanúsítványok kibocsátása. Az első dolog, amire szüksége van - a tanúsítvány kérelem (CSR). A részleteket lásd a Hogyan lehet létrehozni egy tanúsítvány aláírási kérelem (CSR). Miután megkapta a CSR, írja be a következő parancsot, hogy hozzon létre egy tanúsítványt aláírja a központtól:
A jelszó megadása után a CA kulcs megadását kéri megerősítését tanúsítvány aláíró és még a megőrzése az új tanúsítványt. Akkor lesz képes látni valamit, a hangerő, utalva a létrehozását a tanúsítványt.
Az ezt követő tanúsítványok neve 02.pem, 03.pem stb
Cserélje levelezes.pelda.hu.crt saját leíró nevet.
8. Végül másolja át az új tanúsítványt a számítógépen, amelyre megjelent, és állítsa be a megfelelő alkalmazásokat használni. Az alapértelmezett helye a tanúsítvány - / etc / ssl / certs. Ez lehetővé teszi, hogy sok szolgáltatás ugyanazt a tanúsítványt használni anélkül, hogy túlzottan megnehezíti a hozzáférési jogokat a fájlt.
Azoknál az alkalmazásoknál, hogy lehet beállítani, hogy a tanúsítvány használatához CA, akkor másolja /etc/ssl/certs/cacert.pem fájlt az / etc / ssl / certs / minden szerveren.
További részletes utasításokat használ titkosítást látni az SSL tanúsítványok HOGYAN tlpd.org.