Skapa självsignerat certifikat: Difference between revisions
Linuxwiki>Wikiadmin Skapade sidan med 'Denna information kommer delvis från http://apache-ssl.org Börja med att skapa nyckel och request: '''openssl req -new > new.cert.csr''' Generating a 1024 bit RSA private...' |
Linuxwiki>Wikiadmin No edit summary |
||
| Line 69: | Line 69: | ||
Ovanstående är ett exempel där det fetmarkerade är sånt som kan vara bra att ändra på. | Ovanstående är ett exempel där det fetmarkerade är sånt som kan vara bra att ändra på. | ||
[[Category:Apache]] | |||
Revision as of 15:04, 27 February 2015
Denna information kommer delvis från http://apache-ssl.org
Börja med att skapa nyckel och request:
openssl req -new > new.cert.csr Generating a 1024 bit RSA private key ....++++++ .++++++ writing new private key to 'privkey.pem' Enter PEM pass phrase: <måste vara minst 4 tecken> Verifying - Enter PEM pass phrase: ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:SE State or Province Name (full name) [Some-State]:Kalmar Locality Name (eg, city) []:Kalmar Organization Name (eg, company) [Internet Widgits Pty Ltd]:ECS Organizational Unit Name (eg, section) []:ECS Common Name (eg, YOUR name) []:server.se Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:
Nu är nyckeln skapad men det lösenord som man var tvungen att ange ska nu tas bort:
openssl rsa -in privkey.pem -out new.cert.key Enter pass phrase for privkey.pem:Samma lösen som ovan writing RSA key
Konvertera detta request till ett självsignerat certifikat:
openssl x509 -in new.cert.csr -out new.cert -req -signkey new.cert.key -days 365 Signature ok subject=/C=SE/ST=Kalmar/L=Kalmar/O=ECS/OU=ECS/CN=server.se Getting Private key
I apache måste man använda dessa parametrar för att peka ut sitt certifikat (visar mer om det nedan):
SSLCertificateFile /path/to/certs/new.cert.cert SSLCertificateKeyFile /path/to/certs/new.cert.key
Exemplet nedan visar hur detta kan göras för en virtuell host, men först kan det vara bra att byta namn på certifikatet till något bättre om man använde new.nånting enligt ovan. Förslag kan vara att kalla filerna för servernamn.nånting. Så här kan det se ut efter byte av namnen:
server.se.cert.cert server.se.cert.key
Lägg dessa förslagsvis i apaches ssl-katalog vilket t ex kan vara /etc/apache2/ssl.
Sedan kan man inkludera dessa i en virtuell host eller ha som standard för hela servern. Detta är för en virtuell host. Notera att det är här viktigt att namnet stämmer med servernamnet i konfig. Annars ges en varning för det med, förutom att certfikatet inte är utfärdat av behörig godkännare.
<VirtualHost *:443> ServerName server.se DocumentRoot /var/www/sslmapp/ ErrorLog /var/log/apache2/sslmapp.log CustomLog /var/log/apache2/sslmapp.log combined SSLEngine on SSLCertificateFile /etc/apache2/ssl/avdelning.se.cert.cert SSLCertificateKeyFile /etc/apache2/ssl/avdelning.se.cert.key <Directory "/var/www/sslmapp"> Options ExecCGI Includes AllowOverride None Order allow,deny allow from all </Directory> </VirtualHost>
Ovanstående är ett exempel där det fetmarkerade är sånt som kan vara bra att ändra på.