Работа с клиенти означава, опции за създаване на сертификат
SSL - Secure Socket Layer. криптографски протокол, който използва публичен ключ за криптиране за защита на данните, предавани по мрежата. Протоколът SSL е важен елемент на политиката на системата за сигурност. SSL сертификат - електронен документ, използван за потвърждаване на сделки, принадлежащи към определен сървър и установяване на защитена връзка между клиент и сървър с криптиране на трафика. Той често се използва за осигуряване на уеб сървъри (HTTPS) или пощенски сървъри (съобрази с IMAPS)
Процедурата за създаване на сертификат за SSL
- Клиентът трябва да създаде сертификат с всички необходими данни.
- Изпрати заявка за сертифициране в една от "СО" (ТЗ). Така е, на този етап, bednt създаден частен ключ на локалната машина.
- След обработка на искането, сертификатът е подписан от ключа Калифорния. Клиентът има ключова обществена Калифорния. проверка на автентичността на сертификата и след това да го използвате.
- Ако е необходимо, можете да комбинирате сертификата и ключа в един файл.
конфигурация OpenSSL
В този пример, ние ще използваме директорията / ЮЕсАр / местни / CERT,. Проверка и редактиране на /etc/ssl/openssl.cnf файл. според вашата конфигурация.
Ето част от openssl.cnf конфигурационния файл. значение за делото:
Уверете се, че директориите съществуват, или да ги създаде.
Ако ще да получа сертификат, подписан от всеки CA. трябва да изпратите заявка за сертифициране (КСО). След обработка на искането, сертификатът ще бъде подписан за определен период (например 1 година).
Създаване на сертифициращ орган
Ако не разполагате с удостоверение, подписано от CA, и не планирате да изпрати заявка за сертифициране, можете да създадете свой собствен сертификат.
заявка за сертифициране (КСО)
Ако вашето приложение не поддържа криптиране (например UW-IMAP), изключете го (шифроване) от -nodes опция.
Запазване на заявката (newreq.pem), тя може да бъде изпратен отново за следващата актуализация, подпис ограничава валидността на сертификата. Освен това, в процеса, на частния ключ ще бъде създаден newkey.pem.
подпис на сертификат
CA-подписан сертификат е валиден.
по-долу, на мястото на "именасървър" до името на сървъра
Tkper servernamekey.pem - съдържа частния ключ и servernamecert.pem - сертификат на сървъра.
Създаване на съвместна сертификат
IMAP сървъра иска да има всички частни ключове и сертификати на сървъра в един файл, то не е трудно да се направи, но файла трябва да се съхранява в много сигурно място.
Servername.pem създадете файл, съдържащ ключове и сертификати.
Окончателната версия на servername.pem файл. Тя ще изглежда по следния начин:
Какво имаме сега в директорията / ЮЕсАр / местни / от сертифициращ /:
- CA / частни / cakey.pem (CA личен ключ)
- CA / cacert.pem (CA публичен ключ)
- от сертифициращ / servernamekey.pem (на частния ключ на сървъра)
- от сертифициращ / servernamecert.pem (подписан сертификат на сървъра)
- от сертифициращ / servername.pem (сертификат на сървъра и частен ключ)
Частният ключ на сигурно място!