Skapa självsignerat certifikat: Difference between revisions

From Linuxwiki
Jump to navigation Jump to search
Linuxwiki>Wikiadmin
Skapade sidan med 'Denna information kommer delvis från http://apache-ssl.org Börja med att skapa nyckel och request: '''openssl req -new > new.cert.csr''' Generating a 1024 bit RSA private...'
 
Linuxwiki>Wikiadmin
No edit summary
Line 69: Line 69:


Ovanstående är ett exempel där det fetmarkerade är sånt som kan vara bra att ändra på.
Ovanstående är ett exempel där det fetmarkerade är sånt som kan vara bra att ändra på.
[[Category:Apache]]

Revision as of 15:04, 27 February 2015

Denna information kommer delvis från http://apache-ssl.org

Börja med att skapa nyckel och request:

openssl req -new > new.cert.csr
Generating a 1024 bit RSA private key
....++++++
.++++++
writing new private key to 'privkey.pem'
Enter PEM pass phrase: <måste vara minst 4 tecken>
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:SE
State or Province Name (full name) [Some-State]:Kalmar
Locality Name (eg, city) []:Kalmar
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ECS
Organizational Unit Name (eg, section) []:ECS
Common Name (eg, YOUR name) []:server.se
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Nu är nyckeln skapad men det lösenord som man var tvungen att ange ska nu tas bort:

openssl rsa -in privkey.pem -out new.cert.key
Enter pass phrase for privkey.pem:Samma lösen som ovan
writing RSA key

Konvertera detta request till ett självsignerat certifikat:

openssl x509 -in new.cert.csr -out new.cert -req -signkey new.cert.key -days 365
Signature ok
subject=/C=SE/ST=Kalmar/L=Kalmar/O=ECS/OU=ECS/CN=server.se
Getting Private key

I apache måste man använda dessa parametrar för att peka ut sitt certifikat (visar mer om det nedan):

SSLCertificateFile /path/to/certs/new.cert.cert
SSLCertificateKeyFile /path/to/certs/new.cert.key

Exemplet nedan visar hur detta kan göras för en virtuell host, men först kan det vara bra att byta namn på certifikatet till något bättre om man använde new.nånting enligt ovan. Förslag kan vara att kalla filerna för servernamn.nånting. Så här kan det se ut efter byte av namnen:

server.se.cert.cert
server.se.cert.key

Lägg dessa förslagsvis i apaches ssl-katalog vilket t ex kan vara /etc/apache2/ssl.

Sedan kan man inkludera dessa i en virtuell host eller ha som standard för hela servern. Detta är för en virtuell host. Notera att det är här viktigt att namnet stämmer med servernamnet i konfig. Annars ges en varning för det med, förutom att certfikatet inte är utfärdat av behörig godkännare.

<VirtualHost *:443>
 ServerName server.se
 DocumentRoot /var/www/sslmapp/
 ErrorLog /var/log/apache2/sslmapp.log
 CustomLog /var/log/apache2/sslmapp.log combined
 SSLEngine on
 SSLCertificateFile /etc/apache2/ssl/avdelning.se.cert.cert
 SSLCertificateKeyFile /etc/apache2/ssl/avdelning.se.cert.key
<Directory "/var/www/sslmapp">
   Options ExecCGI Includes
   AllowOverride None
   Order allow,deny
   allow from all
</Directory>
</VirtualHost>

Ovanstående är ett exempel där det fetmarkerade är sånt som kan vara bra att ändra på.