Създаване на сертификат SSL в Linux

Продължавайки линията на около SSL статии, бих искал да се опише външния вид на стъпала сертификати.

Няма да повтарям в терминологията. Теоретичната част е описана в статията "Какво е SSL и защо вие ядете"

По-нататъшни действия са валидни за Linux използване в OpenSSL функционален пакет.

Така че за да започне да генерира ключа за сигурност. Важно е да копирате файла в уединено място, тъй като тя няма да работи без сертификат.

OpenSSL genrsa напускане server.key 2048

След създаване на файла на заявка за сертификат:

OpenSSL REQ -Нови -бутона server.key напускане% your_website% .csr

В процеса на генериране на заявка, на която ще бъдат зададени следните въпроси. Естествено, повечето от тях може да остане без отговор. Важно е само общото име - името на вашия сайт. Ако това е грешка, сертификатът няма да работи:

Име на държавата (2-буквен код) [AU]:
Членка или име на провинция (пълно име) [Някои-членка]:
Име на местността (например град) []:
Наименование на организацията (например, фирма) [Internet Widgits Pty Ltd]:
Организационна единица Наименование (например, раздел) []:
Общо име (например сървър FQDN или вашето име) []:
E-mail адрес []:
Предизвикателство парола []:
избор име на фирма []:

За съжаление Общо име приема само една стойност, което означава, можете да генерирате сертификат само за домейна тн, само за домейна без WWW. Какво да се прави? Много просто. Първо трябва да бъде готов да се гарантира, че удостоверението на 2 домейн ще струва повече от 1. Това означава, че ако използвате връзки с WWW и без WWW, а след това трябва да плащам, или пренапише кода на сайта си.

Друг пример е да се спестят пари. Това е, един сертификат за 3 домейн обикновено струва по-малко от 3 отделни сертификат. Както се досещате след това ще се съсредоточим върху генериране на сертификати за няколко домейна или на многодоменов сертификати.

С цел да се генерира заявка за сертификат за няколко домейна, които искате да редактирате файл /etc/ssl/openssl.cnf:

След това трябва да намерите секцията [v3_req]. То ще включва тук в следните направления:

basicConstraints = CA: FALSE
keyUsage = неотхвърляне, digitalSignature, keyEncipherment

Непосредствено под тях е необходимо да се определи следната конструкция

subjectAltName = @alt_names
[Alt_names]
DNS.1 = WWW.% Your_website% .com
DNS.2 = WWW.% Your_website% .org
DNS.3 =% your_website% .org

Alt_names масив ще съдържа алтернативни имена на домейни, които ще бъдат включени в сертификата. Не е право може да бъде отстранен по право - да се добавят.

След тази операция, трябва да се върнете към 3-те стъпки назад, server.key и генериране на КСО.

За съжаление, тази функция не е налична в IIS, така многодоменов сертификати се генерират изключително на Linux.

На изхода ще получите файла CSR (Certificate Request), който ще съдържа всички дати на домейните си.

Четете съдържанието на файла КСО със следната команда:

OpenSSL REQ -в% your_website% .csr -noout -text

Уверете се, че нашата молба съдържа всички данни, можете спокойно да отидете в търсене на сертифициращите органи (за тези, които не са прочели статията на линка в началото, това са организации, които ще направят вашия сертификат е валиден чрез своя електронен подпис за парите си)

Аз препоръчвам още веднъж да се уверите, че файлът server.key се съхранява сигурно на различни места. Без него, сертификатът няма да работи. В случай, че server.key загуба файл ще трябва да се повтаря всички стъпки и купи нов сертификат.

След като попълните необходимите формите и плащането ще ви предостави няколко начина за да го потвърдите. Обикновено това е било да се създаде текстов файл в основната директория на сайта, или добавяне на TXT запис в зоната на DNS. Първият вариант е по-удобен, тъй като отнема най-малко време.

Цялата процедура не трябва да отнеме повече от час. На изхода имаш текст абракадабра - сертификат. Сега трябва да го добавите към сървъра.

Когато се работи с SSL сертификати е много лесен за използване страница SSL Stuff Check.

Предлага следните инструменти:

И в крайна сметка, можете да създадете сертификат samopodpisany по този начин:

OpenSSL x509 -req -extensions v3_req -days 365 -в% your_website% .csr -signkey server.key напускане% your_website% .crt

(Посетени 3141 пъти, 1 посещения днес)