เอกสาร<ก่อนหน้านี้ | Contents | ถัดไป>
5.5. ผู้ออกใบรับรอง
หากบริการในเครือข่ายของคุณต้องการใบรับรองที่ลงนามเองมากกว่าสองสามฉบับ อาจคุ้มกับความพยายามเพิ่มเติมในการตั้งค่าภายในของคุณเอง ผู้ออกใบรับรอง (CA). การใช้ใบรับรองที่ลงนามโดย CA ของคุณเอง ทำให้บริการต่างๆ ที่ใช้ใบรับรองสามารถไว้วางใจบริการอื่นๆ ได้อย่างง่ายดายโดยใช้ใบรับรองที่ออกให้จาก CA เดียวกัน
1. ขั้นแรก สร้างไดเร็กทอรีเพื่อเก็บใบรับรอง CA และไฟล์ที่เกี่ยวข้อง:
sudo mkdir /etc/ssl/CA.sudo
sudo mkdir /etc/ssl/newcerts
2. CA ต้องการไฟล์เพิ่มเติมสองสามไฟล์เพื่อดำเนินการ ไฟล์หนึ่งเพื่อติดตามหมายเลขซีเรียลล่าสุดที่ใช้โดย CA ใบรับรองแต่ละใบต้องมีหมายเลขซีเรียลที่ไม่ซ้ำกัน และไฟล์อื่นเพื่อบันทึกว่าใบรับรองใดที่ออกแล้ว:
sudo sh -c "echo '01' > /etc/ssl/CA/serial" sudo touch /etc/ssl/CA/index.txt
3. ไฟล์ที่สามเป็นไฟล์คอนฟิกูเรชันของ CA แม้ว่าจะไม่จำเป็นอย่างยิ่ง แต่ก็สะดวกมากเมื่อออกใบรับรองหลายฉบับ แก้ไข /etc/ssl/openssl.cnf, และใน [ CA_default ] เปลี่ยน:
dir = /etc/ssl # ที่ซึ่งทุกอย่างถูกเก็บไว้ ฐานข้อมูล = $dir/CA/index.txt # ไฟล์ดัชนีฐานข้อมูล ใบรับรอง = $dir/certs/cacert.pem # ใบรับรอง CA
serial = $dir/CA/serial # หมายเลขซีเรียลปัจจุบัน private_key = $dir/private/cakey.pem# คีย์ส่วนตัว
4. ถัดไป สร้างใบรับรองหลักที่ลงนามเอง:
openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -วัน 3650
จากนั้นระบบจะขอให้คุณป้อนรายละเอียดเกี่ยวกับใบรับรอง
5. ตอนนี้ติดตั้งใบรับรองหลักและคีย์:
sudo mv cakey.pem /etc/ssl/private/ sudo mv cacert.pem /etc/ssl/certs/
6. ตอนนี้คุณพร้อมที่จะเริ่มลงนามในใบรับรองแล้ว รายการแรกที่จำเป็นคือคำขอลงนามใบรับรอง (CSR) ดูหัวข้อ 5.2 “การสร้างคำขอลงนามใบรับรอง (CSR)” [p. 199] สำหรับรายละเอียด เมื่อคุณมี CSR แล้ว ให้ป้อนข้อมูลต่อไปนี้เพื่อสร้างใบรับรองที่ลงนามโดย CA:
sudo openssl ca -in server.csr -config /etc/ssl/openssl.cnf
หลังจากป้อนรหัสผ่านสำหรับคีย์ CA แล้ว คุณจะได้รับแจ้งให้ลงนามในใบรับรอง และยืนยันใบรับรองใหม่อีกครั้ง จากนั้นคุณควรเห็นผลลัพธ์จำนวนมากที่เกี่ยวข้องกับการสร้างใบรับรอง
7. ตอนนี้ควรมีไฟล์ใหม่ /etc/ssl/newcerts/01.pemที่มีเอาต์พุตเดียวกัน คัดลอกและวางทุกอย่างที่ขึ้นต้นด้วยบรรทัด: ----- เริ่มต้นใบรับรอง ----- และดำเนินการต่อผ่านบรรทัด: ----จบใบรับรอง---- บรรทัดไปยังไฟล์ที่ตั้งชื่อตามชื่อโฮสต์ของเซิร์ฟเวอร์ที่จะติดตั้งใบรับรอง ตัวอย่างเช่น mail.example.com.crt, เป็นชื่อที่สื่อความหมายที่ดี
ใบรับรองที่ตามมาจะมีชื่อว่า 02.พีเอ็ม, 03.พีเอ็มฯลฯ
แทนที่ mail.example.com.crt ด้วยชื่อที่เป็นคำอธิบายของคุณเอง
8. สุดท้าย คัดลอกใบรับรองใหม่ไปยังโฮสต์ที่ต้องการ และกำหนดค่าแอปพลิเคชันที่เหมาะสมเพื่อใช้งาน ตำแหน่งเริ่มต้นในการติดตั้งใบรับรองคือ /etc/ssl/ใบรับรอง. ซึ่งช่วยให้หลายบริการสามารถใช้ใบรับรองเดียวกันได้โดยไม่ต้องให้สิทธิ์ไฟล์ที่ซับซ้อนเกินไป
สำหรับแอปพลิเคชันที่สามารถกำหนดค่าให้ใช้ใบรับรอง CA คุณควรคัดลอก /etc/ssl/ ใบรับรอง/cacert.pem ไฟล์ไปที่ /etc/ssl/ใบรับรอง/ ไดเร็กทอรีในแต่ละเซิร์ฟเวอร์