OnWorks Linux ו-Windows Online WorkStations

לוגו

אירוח מקוון בחינם עבור תחנות עבודה

<הקודם | תוכן | הבא>

5.5. רשות האישורים


אם השירותים ברשת שלך דורשים יותר מכמה אישורים בחתימה עצמית, ייתכן ששווה את המאמץ הנוסף להגדיר פנימי משלך. רשות האישורים (CA). שימוש בתעודות חתומות על ידי CA משלך, מאפשר לשירותים השונים המשתמשים בתעודות לסמוך בקלות על שירותים אחרים באמצעות תעודות שהונפקו מאותה CA.


1. ראשית, צור את הספריות שיחזיקו את אישור ה-CA וקבצים קשורים:


sudo mkdir /etc/ssl/CA

sudo mkdir /etc/ssl/newcerts

2. ה-CA זקוק למספר קבצים נוספים לתפעול, אחד למעקב אחר המספר הסידורי האחרון בו השתמש ה-CA, לכל תעודה יש ​​מספר סידורי ייחודי, וקובץ נוסף לתיעוד אילו תעודות הונפקו:


sudo sh -c "echo '01' > /etc/ssl/CA/serial" sudo touch /etc/ssl/CA/index.txt

3. הקובץ השלישי הוא קובץ תצורה של CA. למרות שזה לא הכרחי, זה מאוד נוח בעת הנפקת תעודות מרובות. לַעֲרוֹך /etc/ssl/openssl.cnf, וכן ב [ CA_default ] שינוי:


dir = /etc/ssl # איפה הכל נשמר מסד נתונים = $dir/CA/index.txt # קובץ אינדקס מסד נתונים. אישור = $dir/certs/cacert.pem # אישור ה-CA

serial = $dir/CA/serial # המספר הסידורי הנוכחי private_key = $dir/private/cakey.pem# המפתח הפרטי

4. לאחר מכן, צור את אישור השורש בחתימה עצמית:


openssl req -new -x509 -הרחבות v3_ca -keyout cakey.pem -out cacert.pem -days 3650


לאחר מכן תתבקש להזין את הפרטים על התעודה.

5. כעת התקן את אישור השורש והמפתח:


sudo mv cakey.pem /etc/ssl/private/ sudo mv cacert.pem /etc/ssl/certs/

6. כעת אתה מוכן להתחיל לחתום על אישורים. הפריט הראשון הדרוש הוא בקשת חתימה על תעודה (CSR), ראה סעיף 5.2, "יצירת בקשת חתימה על תעודה (CSR)" [עמ'. 199] לפרטים. לאחר שיש לך CSR, הזן את הפרטים הבאים כדי ליצור אישור חתום על ידי ה-CA:


sudo openssl ca -in server.csr -config /etc/ssl/openssl.cnf


לאחר הזנת הסיסמה עבור מפתח ה-CA, תתבקש לחתום על האישור, ושוב לבצע את האישור החדש. לאחר מכן, אתה אמור לראות כמות גדולה של פלט הקשורה ליצירת האישור.

7. כעת אמור להיות קובץ חדש, /etc/ssl/newcerts/01.pem, המכיל את אותו פלט. העתק והדבק את כל מה שמתחיל בשורה: ----- להתחיל הסמכה ----- וממשיך דרך הקו: ---- סוף תעודה----- שורות לקובץ הנקרא על שם המארח של השרת שבו האישור יותקן. לדוגמה mail.example.com.crt, הוא שם תיאורי נחמד.


שמות התעודות הבאות 02.פם, 03.פם, וכו '


תמונה

חלף mail.example.com.crt עם השם התיאורי שלך.


8. לבסוף, העתק את האישור החדש למארח שזקוק לו, והגדר את היישומים המתאימים לשימוש בו. מיקום ברירת המחדל להתקנת אישורים הוא /etc/ssl/certs. זה מאפשר למספר שירותים להשתמש באותו אישור ללא הרשאות קובץ מסובכות מדי.


עבור יישומים שניתן להגדיר להשתמש באישור CA, עליך גם להעתיק את /etc/ssl/certs/cacert.pem קובץ ל- /etc/ssl/certs/ ספרייה בכל שרת.


  

 

<הקודם | תוכן | הבא>

  

מחשוב ענן מערכת ההפעלה המוביל ב-OnWorks: