תיעוד5.2. הפקת בקשת חתימה על אישור (CSR)
בין אם אתה מקבל אישור מ-CA או יוצר אישור בחתימה עצמית משלך, הצעד הראשון הוא יצירת מפתח.
אם האישור ישמש על ידי דמוני שירות, כגון Apache, Postfix, Dovecot וכו', לרוב מתאים מפתח ללא ביטוי סיסמה. חוסר ביטוי סיסמה מאפשר לשירותים להתחיל ללא התערבות ידנית, בדרך כלל הדרך המועדפת להפעיל דמון.
סעיף זה יעסוק ביצירת מפתח עם ביטוי סיסמה, ואחד בלי. לאחר מכן, המפתח ללא ביטוי סיסמה ישמש ליצירת אישור שניתן להשתמש בו עם דמוני שירות שונים.
הפעלת השירות המאובטח שלך ללא ביטוי סיסמה נוחה מכיוון שלא תצטרך להזין את ביטוי הסיסמה בכל פעם שתפעיל את השירות המאובטח שלך. אבל זה לא מאובטח ופשרה של המפתח פירושה פשרה גם של השרת.
כדי ליצור את מפתחות עבור בקשת חתימת האישורים (CSR) הפעל את הפקודה הבאה משורת מסוף:
openssl genrsa -des3 -out server.key 2048
יצירת מפתח פרטי RSA, מודולוס ארוך של 2048 סיביות
..................................++++++
......++++++
e הוא 65537 (0x10001)
הזן ביטוי סיסמה עבור server.key:
כעת תוכל להזין את ביטוי הסיסמה שלך. עבור האבטחה הטובה ביותר, הוא צריך להכיל לפחות שמונה תווים. האורך המינימלי בעת ציון -des3 הוא ארבעה תווים. זה צריך לכלול מספרים ו/או סימני פיסוק ולא להיות מילה במילון. זכור גם שביטוי הסיסמה שלך תלוי רישיות.
הקלד מחדש את משפט הסיסמה כדי לאמת. לאחר שהקלדת אותו מחדש כראוי, מפתח השרת נוצר ומאוחסן ב- server.key קובץ.
כעת צור את המפתח הלא מאובטח, זה ללא ביטוי סיסמה, וערבב את שמות המפתחות:
openssl rsa -in server.key -out server.key.insecure mv server.key server.key.secure
mv server.key.insecure server.key
המפתח הלא מאובטח נקרא כעת server.key, ואתה יכול להשתמש בקובץ זה כדי ליצור את CSR ללא ביטוי סיסמה. כדי ליצור את ה-CSR, הפעל את הפקודה הבאה בשורת מסוף:
openssl req -new -key server.key -out server.csr
זה יבקש ממך להזין את ביטוי הסיסמה. אם תזין את משפט הסיסמה הנכון, הוא יבקש ממך להזין את שם החברה, שם האתר, מזהה הדוא"ל וכו'. לאחר שתזין את כל הפרטים הללו, ה-CSR שלך ייווצר והוא יישמר ב- server.csr קובץ.
כעת תוכל להגיש קובץ CSR זה ל-CA לעיבוד. ה-CA ישתמש בקובץ CSR זה וינפיק את האישור. מצד שני, אתה יכול ליצור אישור בחתימה עצמית באמצעות CSR זה.