Dokumenty<Poprzedni | Spis treści | Następne>
5.2. Generowanie żądania podpisania certyfikatu (CSR).
Niezależnie od tego, czy otrzymujesz certyfikat z urzędu certyfikacji, czy generujesz własny certyfikat z podpisem własnym, pierwszym krokiem jest wygenerowanie klucza.
Jeśli certyfikat będzie używany przez demony usług, takie jak Apache, Postfix, Dovecot itp., często odpowiedni jest klucz bez hasła. Brak hasła umożliwia uruchamianie usług bez ręcznej interwencji, co jest zwykle preferowanym sposobem uruchamiania demona.
W tej sekcji omówimy generowanie klucza z hasłem i jednego bez. Klucz bez hasła zostanie następnie użyty do wygenerowania certyfikatu, którego można używać z różnymi demonami usług.
Uruchamianie bezpiecznej usługi bez hasła jest wygodne, ponieważ nie trzeba wprowadzać hasła za każdym razem, gdy uruchamiasz bezpieczną usługę. Jest to jednak niebezpieczne i naruszenie klucza oznacza również naruszenie serwera.
Aby wygenerować Klawisze w przypadku żądania podpisania certyfikatu (CSR) uruchom następujące polecenie w wierszu terminala:
openssl genrsa -des3 -out serwer.klucz 2048
Generowanie klucza prywatnego RSA o długości modułu 2048 bitów
.............++++++
......++++++
e to 65537 (0x10001)
Wprowadź hasło dla serwera.key:
Możesz teraz wprowadzić hasło. Ze względów bezpieczeństwa powinien zawierać co najmniej osiem znaków. Minimalna długość przy podaniu -des3 to cztery znaki. Powinien zawierać cyfry i/lub znaki interpunkcyjne i nie powinien być słowem ze słownika. Pamiętaj również, że w haśle rozróżniana jest wielkość liter.
Wpisz ponownie hasło, aby je zweryfikować. Po ponownym wpisaniu go poprawnie, klucz serwera zostanie wygenerowany i zapisany w pliku klucz.serwera plik.
Teraz utwórz niepewny klucz, ten bez hasła i przetasuj nazwy kluczy:
openssl rsa -in serwer.klucz -out serwer.klucz.niezabezpieczony mv serwer.klucz serwer.klucz.bezpieczny
mv klucz.serwera.niezabezpieczony.klucz.serwera
Niezabezpieczony klucz ma teraz nazwę klucz.serwerai możesz użyć tego pliku do wygenerowania CSR bez hasła. Aby utworzyć żądanie CSR, uruchom następujące polecenie w wierszu poleceń terminala:
openssl req -nowy -klucz serwer.klucz -out serwer.csr
Wyświetli się monit o wprowadzenie hasła. Jeśli wpiszesz prawidłowe hasło, pojawi się monit o podanie nazwy firmy, nazwy witryny, identyfikatora e-mail itp. Po wprowadzeniu wszystkich tych szczegółów zostanie utworzony Twój CSR i będzie przechowywany w serwer.csr plik.
Możesz teraz przesłać ten plik CSR do urzędu certyfikacji w celu przetworzenia. Urząd certyfikacji użyje tego pliku CSR i wystawi certyfikat. Z drugiej strony za pomocą tego CSR możesz utworzyć certyfikat z podpisem własnym.