Выпуск SSL-сертификата: различия между версиями
Bas (обсуждение | вклад) |
Bas (обсуждение | вклад) |
||
| Строка 11: | Строка 11: | ||
Для того, чтобы избежать риска компрометации приватного ключа его можно создать зашифрованным. При создании ключа с шифрованием будет запрошен пароль. Этот пароль впоследствии всегда будет запрашиваться при доступе к ключу. В том числе и при запуске web-сервера, чтении информации о сертификате. Мы будем использовать ключ без шифрования. Для создания такого ключа необходимо выполнить следующую команду: | Для того, чтобы избежать риска компрометации приватного ключа его можно создать зашифрованным. При создании ключа с шифрованием будет запрошен пароль. Этот пароль впоследствии всегда будет запрашиваться при доступе к ключу. В том числе и при запуске web-сервера, чтении информации о сертификате. Мы будем использовать ключ без шифрования. Для создания такого ключа необходимо выполнить следующую команду: | ||
<pre> | <pre> | ||
openssl genrsa -out private.key 2048 | |||
</pre> | </pre> | ||
Версия от 09:10, 19 сентября 2015
Для того, чтобы web-сервер Apache мог работать по защищённому протоколу HTTPS необходимо выпустить SSL-сертификат, с помощью которого будет шифроваться трафик между клиентом и сервером, а так же проверяться подлинность сайта. Сертификат состоит из 2-ух частей (2-ух ключей) - public (публичный, собствено сам сертификат) и private (приватный / личный / закрытый). Публичный ключ используется для шифрования данных, идущих от клиента к серверу в защищённом соединении, приватный ключ — для расшифровки полученных от клиента данных на сервере. После того как пара ключей приватный / публичный сгенерированы, на основе публичного ключа формируется запрос сертификата в центр сертификации, в ответ на который центр сертификации высылает подписанный сертификат. Центр сертификации при подписывании проверяет клиента, что позволяет ему гарантировать что держатель сертификата является тем, за кого себя выдаёт.
Приватный ключ
Приватный ключ является самым важным элементом при выпуске сертификата.
Если приватный ключ скомпрометирован, то это несёт угрозу информационной безопасности. При попадании приватного ключа к злоумышленнику ни о какой надёжной передачи данных речи быть не может, т.к. злоумышленник может расшифровать трафик этим ключём.
Если приватный ключ потерян или повреждён, то работа web-сервера будет не возможна, т.к. не получится зашифровать / расшифровать передаваемый трафик. Так же при утере или повреждении приватного ключа мы не сможем сменить или перевыпустить сертификат, т.к. на основе приватного ключа генерируется CSR-запрос в центр сертификации.
Для того, чтобы избежать риска компрометации приватного ключа его можно создать зашифрованным. При создании ключа с шифрованием будет запрошен пароль. Этот пароль впоследствии всегда будет запрашиваться при доступе к ключу. В том числе и при запуске web-сервера, чтении информации о сертификате. Мы будем использовать ключ без шифрования. Для создания такого ключа необходимо выполнить следующую команду:
openssl genrsa -out private.key 2048
CSR-запрос
openssl req -out request.csr -key private.key -new -sha256
Country Name (2 letter code) [AU]:RU State or Province Name (full name) [Some-State]:Moscow Locality Name (eg, city) []:Moscow Organization Name (eg, company) [Internet Widgits Pty Ltd]:Applied Internet Projects Organizational Unit Name (eg, section) []:Security Common Name (e.g. server FQDN or YOUR name) []:wiki.gwtools.ru Email Address []:webmaster@gwtools.ru Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: