Dokumentasi<Sebelumnya | Konten | Selanjutnya>
5.2. Membuat Permintaan Penandatanganan Sertifikat (CSR)
Baik Anda mendapatkan sertifikat dari CA atau membuat sertifikat yang ditandatangani sendiri, langkah pertama adalah membuat kunci.
Jika sertifikat akan digunakan oleh daemon layanan, seperti Apache, Postfix, Dovecot, dll., kunci tanpa frasa sandi sering kali sesuai. Tidak memiliki frasa sandi memungkinkan layanan untuk memulai tanpa intervensi manual, biasanya cara yang lebih disukai untuk memulai daemon.
Bagian ini akan mencakup pembuatan kunci dengan frasa sandi, dan satu tanpa frasa sandi. Kunci non-frasa sandi kemudian akan digunakan untuk menghasilkan sertifikat yang dapat digunakan dengan berbagai daemon layanan.
Menjalankan layanan aman Anda tanpa frasa sandi itu nyaman karena Anda tidak perlu memasukkan frasa sandi setiap kali Anda memulai layanan aman Anda. Tapi itu tidak aman dan kompromi kunci berarti kompromi server juga.
Untuk menghasilkan kunci-kunci untuk Permintaan Penandatanganan Sertifikat (CSR) jalankan perintah berikut dari prompt terminal:
openssl genrsa -des3 -out server.key 2048
Menghasilkan kunci pribadi RSA, modulus panjang 2048 bit
.......................... ++++++
.......++++++
e adalah 65537 (0x10001)
Masukkan frasa sandi untuk server.key:
Anda sekarang dapat memasukkan kata sandi Anda. Untuk keamanan terbaik, setidaknya harus berisi delapan karakter. Panjang minimum saat menentukan -des3 adalah empat karakter. Itu harus menyertakan angka dan/atau tanda baca dan bukan kata dalam kamus. Juga ingat bahwa frasa sandi Anda peka huruf besar-kecil.
Ketik ulang frasa sandi untuk memverifikasi. Setelah Anda mengetik ulang dengan benar, kunci server dibuat dan disimpan di server.kunci file.
Sekarang buat kunci tidak aman, yang tanpa frasa sandi, dan acak nama kuncinya:
openssl rsa -in server.key -keluar server.key.insecure mv server.key server.key.secure
mv server.key.server.key tidak aman
Kunci tidak aman sekarang bernama server.kunci, dan Anda dapat menggunakan file ini untuk menghasilkan CSR tanpa frasa sandi. Untuk membuat CSR, jalankan perintah berikut pada prompt terminal:
openssl req -baru -kunci server.kunci -out server.csr
Ini akan meminta Anda memasukkan frasa sandi. Jika Anda memasukkan frasa sandi yang benar, Anda akan diminta untuk memasukkan Nama Perusahaan, Nama Situs, Id Email, dll. Setelah Anda memasukkan semua detail ini, CSR Anda akan dibuat dan akan disimpan di server.csr file.
Anda sekarang dapat mengirimkan file CSR ini ke CA untuk diproses. CA akan menggunakan file CSR ini dan mengeluarkan sertifikat. Di sisi lain, Anda dapat membuat sertifikat yang ditandatangani sendiri menggunakan CSR ini.