Hogyan kell telepíteni a saját maga által aláírt SSL-tanúsítvány 1. rész
Gyakran használt rövidítések
SSL - Secure Sockets Layer (secure socket layer);
CA - Certification Authority (központja hatóság);
CSR - tanúsítvány kérelmet (tanúsítvány aláírási kérelem);
CRL - CRL (tanúsítvány visszavonási lista);
PKCS - szabvány titkosító nyilvános kulcs (nyilvános kulcsú titkosítás szabványok).
Kijelölése SSL bizonyítványok
Miután létrehozta a saját CA-egy központban az aláírás jelenik meg a cég, amely a tanúsítvány lesz ugyanolyan erővel, mint az aláírás VeriSign, hanem az egész vállalkozás. Ez elég kell terjeszteni az összes számítógépek és mobil eszközök, önmaga által aláírt tanúsítványt „natív” CA, amelyben bejelenti a gyökér, és az összes kulcsot, hogy már vagy aláírásra kerül a jövőben, akkor automatikusan a „biztonságos”, mert tartoznak lehet ellenőrizni. Azt is ad lehetőséget, hogy hozzon létre egy listát a visszavont tanúsítványok, amelyek automatikusan ellenőrzik, ha a biztonságos kapcsolat létrehozása.
VeriSign saját készítés
Általában az eljárás a következő: az ügyfél, aki szeretné megszerezni a tanúsítványt állít elő, CSR (így is létrehozhat egy tanúsítványt kulcs), és elküldi a CSR a CA CA megkapta a CSR, aláírja azt, és hozd létre a saját tanúsítvány, amely küldi vissza az ügyfélnek. Van egy másik lehetőség: az ügyfél azonnal generált tanúsítványt kulcs, tanúsítvány, és mindezt a tanúsítvánnyal együtt CA csomagolt fájl formátum PKCS # 12 (.p12 kiterjesztés), jelszóval védett, és elküldi a kliensnek.
Amikor létrehozza a saját CA akkor létre kell hozni egy könyvtár struktúrát tárolja a következő adatokat:
- beérkezett kérelmeket minősítésre (CSR);
- aláírt tanúsítványokat (CRT);
- Tanúsítvány-visszavonási lista (CRL);
- saját kulcs tanúsítvány CA
1. lista mutatja a könyvtár struktúrát teremtett modul apache1 mod_ssl, de bármilyen más nevet.
1. lista Hozzon létre egy könyvtárat a CA
Miután létrehozta a szükséges könyvtárakat kell változtatni, hogy a konfigurációs fájl OpenSSL. 2. lista három töredékek openssl.cnf fájl: standard CA_default és két extra részén ssl_server és ssl_client.
Jegyzék 2. A konfigurációs fájl fragmens openssl.cnf
A 2. listában, kivéve az alapértelmezett telepítési útvonal, két újabb szakaszok - [ssl_server] és [ssl_client]. amely meghatározza a tanúsítvány paraméterek függvényében a működési mód a program, amely azt. Web-szerver és mail szerver vállalnak Szervertanúsítvány és az e-mail kliens - éppen ellenkezőleg, az ügyfél számára.
Paramétereinek beállítása szekciókban [ssl_server] és [ssl_client] összhangban előállított a férfi x509v3_config. Ha crlDistributionPoints paraméter értékét kell tartalmaznia egy linket nyilvános CRL CA. CRL fogja használni programok, amelyek egy ilyen lehetőséget (például Web-böngészők), hogy ellenőrizze tanúsítvány visszavonási listák, és amikor megpróbálja használni a visszavont tanúsítvány kapcsolat létrejötte lesz, ahelyett, akkor egy hibaüzenet.
A 2. listában a fájl nevét a CA-tanúsítvány - caserv.crt. Fájlnevét CA tanúsítvány egy kulcs - caserv.key és a fájl nevét a CRL - cacrl.pem. Programok nem tudja használni a CRL-fájl, az úgynevezett fájl MCF (egyesített vezérlő fájl - kombinált vezérlő fájl), ami egy egyszerű, egymást követő tanúsítvány és CRL-CA MCF-fájl jön létre, amelyet a cat paranccsal. az alábbiak szerint:
Módosítása után a konfigurációs fájl, akkor létre kell hozni egy általános bizonyítványt CA, aki aláírja az összes egyéb igazolásokat. Létrehozási folyamata a 3. listában:
3. lista létrehozása bizonyítványt CA
Miután létrehoztuk caserv.key fájlt kell elhelyezni ssl.key könyvtárban. set engedélyeket 0400 és védi a jogosulatlan hozzáféréstől. caserv.crt fájlt. éppen ellenkezőleg, meg kell tenni a nyilvánosság számára hozzáférhetővé, és állítsa be Gyökértanúsítvány összes eszköz a vállalati hálózat elérésének.
Is létre kell hozni egy adatbázist index fájlt az aláírt tanúsítványt (a fájl nevét meg van adva a paraméter-adatbázis rész [CA_default]), és a fájl az aktuális sorszám (a neve ennek a fájl van meghatározva az [CA_default] paraméter soros szakasz). 4. lista mutatja a parancsokat, hogy megteremtse a két fájl.
4. lista létrehozása index fájlt, és a fájl az aktuális sorszám CA
Miután ezeket a lépéseket, hogy létrehozzon egy CA-tanúsítvány kész aláírásra.
tanúsítványok létrehozása
Az első módszer, hogy megteremtse a tanúsítvány alkalmazható, ha van lehetőség, hogy hozzon létre egy CSR közvetlenül a kliens gépen - ez általában futtató UNIX vagy Linux. 5. lista mutatja a parancsot, hogy hozzon létre egy CSR.
5. lista létrehozása CSR közvetlenül a kliens számítógépen
5. lista létrehoz egy új CSR, ami rögzítésre kerül myfile.pem fájlt. Az RSA-kulcs tanúsítvány, hossza 1024 bit. CSR ellenőrző kiszámítása a SHA1 algoritmussal. A legjelentősebb paraméter paraméter -nodes. jelezve, hogy a kulcsot jelszóval védett (szerver tanúsítványok általában betöltésre a megfelelő programok és jelszókéréskor leállhat az indítási folyamat). Kialakítása során CSR lesz egy csomó kérdést, a választ, amely szerepelni fog a CSR, később használni.
Generált CSR-fájl myfile.pem át a szerverre, ahol a CA telepítve van, és tegye egy alkönyvtárba ssl.csr. Ezután a tanúsítvány aláírására, amint azt a 6. példában.
Listing 6. Kliens Ügyféltanúsítvány Signature saját CA
Mert -extensions paraméter határozza meg a nevét, a szerver tanúsítvány ssl_server listájában. és az ügyfél tanúsítvány - ssl_client. Alkotó csak két bizonyítványt lehetőségeket: a szöveges rész - myfile.pem és anélkül, hogy a szöveges részt - myfile.crt. a tanúsítvány ugyanabban a formátumban lehet alakítani más formátumba. A tanúsítvány aláírására kell adnia a jelszót a fő CA adott igazolást. Aláírása után minden készen igazolás (vagy mindkettő) is vissza kell küldeni a kliens használható programokat.
A második út létrehozásához használt bizonyítványokat, ha létrehoz egy CSR közvetlenül a kliens számítógépen nem lehetséges (nem UNIX rendszerek, mobil eszközök, a különböző hálózati eszközök). Ebben az esetben, a számítógép, amelyen fut a CA létrehoz egy CSR, és aláírt igazolás (a csapat hozzon létre egy CSR és aláíró tanúsítvány azonos a fentiekben csak -extensions paraméter nevét használják ssl_client szakasz). Miután létrehozott egy igazolást létrehozott fájlok, valamint egy igazolást a CA fognak archív formátum PKCS # 12 és elküldte az ügyfélnek. Ez a leginkább veszélyeztetett a biztonság szempontjából a hely: a tanúsítványt küldött együtt a kulcsot, és jelszóval védett archívum csak! A parancs, hogy hozzon létre egy PKCS # 12 fájl listán látható 7:
Listing 7. Készítsen PKCS # 12 fájl
7. lista létrehoz egy archív myfile.p12 c jelszavát 123456. igazolást, amely myfile.crt. myfile.key tanúsítvány kulcs és a CA caserv.crt gombot. Ez a fájl küldött az ügyfélnek, és állítsa be a kliens operációs rendszer eszközöket.
Felülvizsgálati bizonyítványok. Tanúsítvány-visszavonási listák
Felhívjuk figyelmét, hogy önmagában nem generál a művelet vélemények és frissíti ezt a listát, mivel az csak elő a szükséges műveleteket az index fájlban megadott paraméter-adatbázis CA_default listájában. Egyetlen intézkedés végrehajtásához szükséges frissíteni a listát. visszavonási végezzük módon alább látható:
Ebben a példában a visszavonási tanúsítványt van a fájl myfile.pem egyebek által aláírt CA. Mivel az oka a visszavonás (crl_reason), akkor adja meg a következő értékeket:
- meghatározhatatlan - ezt az opciót akkor használjuk, ha a paraméter értéke helytelen vagy elhagyható;
- keycompromise, cacompromise / - behatolhatnak a kulcs vagy CA;
- affilationchanged - átmenet egy másik CA;
- helyettesített - tanúsítvány cseréje (pl lejárta után);
- cessationofoperation - a szolgálati jogviszony.
Miután visszavonása szükséges frissíteni a tanúsítvány-visszavonási lista, vagy hozzon létre, ha ez még nem volt nem érkezett, az alábbiak szerint: