Self-подписан сертификат SSL, че да създаде сертификат
Self-подписан сертификат SSL, че да се генерира
SSL сертификати се използват за криптиране на информацията, предавана чрез обществени мрежи. Сертификатите се използват в строителството на пощенската система, и (по-често) се монтират на домейна, за да получите достъп до сайта чрез уеб браузър на порт 443. Само чрез HTTPS връзка, да извърши всички парични сделки в сайтовете на системи за онлайн търговия.
SSL сертификати и ключове може да се генерира за всяка Linux сървър, знак за sertfikatsionnye центрове необходимостта и сертификати могат да бъдат подписани самостоятелно. Browser при достъп до сайта, работещи с самоподписан сертификат SSL ще издаде предупреждение за невъзможността да се гарантира сигурна връзка, но често се използва и тази опция.
Как да се генерира самостоятелно подписан сертификат на сървъра Linux
За да генерирате самоподписаният сертификат ще трябва да инсталирате пакета за сървъра OpenSSL (често това е инсталиран по подразбиране)
ап-да инсталирате OpenSSL
Генериран ключов екип файл genrsa. в същото време той посочва типа на криптиране RSA
OpenSSL genrsa -des3 напускане дистанционно-тек-support.key 2048
Ние получи частния ключ
Питаме го въведете (passfrase), която се изисква при изпълнение на командата по-горе
Промяна на правата на ключовия файл
коригират 600 дистанционно тек-support.key
Генериране на заявка за сертификат въз основа на ключа
OpenSSL Req -Нови -бутона дистанционно-тек-support.key напускане дистанционно-тек-support.csr
Създаване на сертификат за 365 дни, на базата на това наше искане, генерирани в предишната стъпка; сертификат ще бъде подписан от ключовите ни
OpenSSL x509 -days 365 -в дистанционно тек-support.csr -signkey дистанционно тек-support.key напускане дистанционно тек-support.crt
Всеки път, когато ние правим всякакви сделки с частния ключ система изисква пропуск. Не да я въвеждате всеки път следните операции. .nopass генерира ключа и да се замени използваната преди ключа.
OpenSSL RSA -в дистанционно-тек-support.key напускане дистанционно-тек-support.key.nopass
MV дистанционно-тек-support.key.nopass дистанционно-тек-support.key
След този пропуск вече не е необходима
Генериране .pem файл с ключ и сертификат, който ще подпише нашия сертификат, генерирани на сървъра (да издават сертификати и парола Сертифициращ орган. Калифорния)
OpenSSL REQ -Нови -x509 -extensions v3_ca -keyout cakey.pem напускане cacert.pem -days 365
Промяна на разрешенията на файла, който съдържа ключа към нашия домейн и с файл rasshireniem.pem
коригират 600 дистанционно тек-support.key
коригират 600 cakey.pem
Последната стъпка, за да преместите файлове в специално създаден за тях директория
MV дистанционно-тек-support.key / и т.н. / SSL / частни /
MV дистанционно-тек-support.crt / и т.н. / SSL / от сертифициращ /
MV cakey.pem / и т.н. / SSL / частни /
MV cacert.crt / и т.н. / SSL / от сертифициращ /
Пътят до сега е необходимо да се уточни при конфигуриране на различен софтуер, използвайте сертификати: Web (. Apache Nginx) И пощенски сървър (Postfix Exim гълъбарник ..).
Описани в статията на алгоритъма работи перфектно на Ubuntu, когато се опитват на сървър с Debian 7 команда:
OpenSSL x509 -days 365 -в дистанционно тек-support.csr -signkey дистанционно тек-support.key напускане дистанционно тек-support.crt
не може да зареди сертификат
140667608573608: грешка: 0906D06C: ПОМ съчетания: PEM_read_bio: не стартовата линия: pem_lib.c: 696: Очаквайки: надежден сертификат
Проблемът неправилен формат на генерирания файл
Взето е решение за смяната на Debian, в действителност, всички от посочените по-горе команди в един член
OpenSSL REQ -Нови -x509 -days 365 -nodes напускане /etc/ssl/localcerts/remote-tech-support.pem -keyout /etc/ssl/localcerts/remote-tech-support.key
Преди да приложи, е необходимо да се създаде директорията / и т.н. / SSL / localcerts