dokumentasi<Sebelum | Contents [show] | Seterusnya>
5.5. Pihak Berkuasa Pensijilan
Jika perkhidmatan pada rangkaian anda memerlukan lebih daripada beberapa sijil yang ditandatangani sendiri, usaha tambahan mungkin berbaloi untuk menyediakan dalaman anda sendiri. Pihak Berkuasa Pensijilan (CA). Menggunakan sijil yang ditandatangani oleh CA anda sendiri, membolehkan pelbagai perkhidmatan menggunakan sijil untuk mempercayai perkhidmatan lain dengan mudah menggunakan sijil yang dikeluarkan daripada CA yang sama.
1. Mula-mula, cipta direktori untuk memegang sijil CA dan fail berkaitan:
sudo mkdir /etc/ssl/CA
sudo mkdir /etc/ssl/newcerts
2. CA memerlukan beberapa fail tambahan untuk beroperasi, satu untuk menjejaki nombor siri terakhir yang digunakan oleh CA, setiap sijil mesti mempunyai nombor siri yang unik dan satu lagi fail untuk merekodkan sijil yang telah dikeluarkan:
sudo sh -c "echo '01' > /etc/ssl/CA/serial" sudo touch /etc/ssl/CA/index.txt
3. Fail ketiga ialah fail konfigurasi CA. Walaupun tidak begitu diperlukan, ia sangat mudah apabila mengeluarkan berbilang sijil. Sunting /etc/ssl/openssl.cnf, dan dalam [ CA_default ] ubah:
dir = /etc/ssl # Di mana segala-galanya disimpan pangkalan data = $dir/CA/index.txt # fail indeks pangkalan data. sijil = $dir/certs/cacert.pem # Sijil CA
siri = $dir/CA/siri # Nombor siri semasa private_key = $dir/private/cakey.pem# The private key
4. Seterusnya, cipta sijil akar yang ditandatangani sendiri:
openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650
Anda kemudiannya akan diminta untuk memasukkan butiran tentang sijil.
5. Sekarang pasang sijil akar dan kunci:
sudo mv cakey.pem /etc/ssl/private/ sudo mv cacert.pem /etc/ssl/certs/
6. Anda kini bersedia untuk mula menandatangani sijil. Perkara pertama yang diperlukan ialah Permintaan Menandatangani Sijil (CSR), lihat Bahagian 5.2, “Menjana Permintaan Menandatangani Sijil (CSR)” [m.s. 199] untuk butiran. Sebaik sahaja anda mempunyai CSR, masukkan yang berikut untuk menjana sijil yang ditandatangani oleh CA:
sudo openssl ca -in server.csr -config /etc/ssl/openssl.cnf
Selepas memasukkan kata laluan untuk kunci CA, anda akan digesa untuk menandatangani sijil, dan sekali lagi untuk menyerahkan sijil baharu. Anda kemudian akan melihat sejumlah besar output yang berkaitan dengan penciptaan sijil.
7. Kini sepatutnya ada fail baharu, /etc/ssl/newcerts/01.pem, mengandungi output yang sama. Salin dan tampal semuanya bermula dengan baris: -----MULAKAN SIJIL----- dan meneruskan melalui baris: ----SIJIL TAMAT----- baris ke fail yang dinamakan sempena nama hos pelayan tempat sijil akan dipasang. Sebagai contoh mail.example.com.crt, ialah nama deskriptif yang bagus.
Sijil seterusnya akan dinamakan 02.pem, 03.pem, Dll
Ganti mail.example.com.crt dengan nama deskriptif anda sendiri.
8. Akhir sekali, salin sijil baharu kepada hos yang memerlukannya, dan konfigurasikan aplikasi yang sesuai untuk menggunakannya. Lokasi lalai untuk memasang sijil ialah /etc/ssl/certs. Ini membolehkan berbilang perkhidmatan menggunakan sijil yang sama tanpa kebenaran fail yang terlalu rumit.
Untuk aplikasi yang boleh dikonfigurasikan untuk menggunakan sijil CA, anda juga harus menyalin /etc/ssl/ certs/cacert.pem fail ke /etc/ssl/certs/ direktori pada setiap pelayan.