SSL/TLS tanusítvány igénylés (egy lehetséges) menete
Egy kollegának volt szüksége erre. Gondoltam akkár már jobb ha kirakom a blogomra, mintha csak email-t írnék. A 2010-03-26 -i belső PPKE dokumentáció alapján PPKE-s ssl tanusítvány igénylésre készült. (NIIF - terena ca segítségével.)
Fogalmak
- Private key: Maga a titkos kulcs. Ezt csak magán a szerveren (esetleg saját gépen) legyen meg. Ne küldjük el senkinek ne kerüljön ki a szerverről!
- csr: Aláírási kérelem ez a private key-jel együtt jön létre. Nyilvános, a tanusítvány aláírásához erre van szükség.
- cert: Maga a tanusítvány ami igazolja, hogy a private kulcs a mienk. (Pontosabban, hogy az adott private key az adott szervezet valamilyen szerveréhez tartozik.) A private keyt őrizzük a többit bárki megkaphatja/olvashatja.
Technikai lépések
Letölteni az openssl csomagot http://www.openssl.org/related/binaries.html
openssl req -batch -config servername.config
-newkey rsa:2048 -out servername_csr.pem
Íme a servername_csr.pem
HOME = .
oid_section = new_oids
[ new_oids ]
[ req ]
default_days = 365 # how long to certify for
default_keyfile = servername_privatekey.pem
distinguished_name = req_distinguished_name
encrypt_key = no
string_mask = nombstr
[ req_distinguished_name ]
0.commonName = Common Name (eg, YOUR name)
0.commonName_default = servername
0.commonName_max = 64
countryName = Country Name (2 letter code)
countryName_default = HU
countryName_min = 2
countryName_max = 2
0.organizationName = Organization Name (eg, company)
0.organizationName_default = write-YOUR-ORGANIZATION-here
Linux esetében a fenti fájlokat felhasználva bekonfigurálható a webszerver, ez elég jól dokumentált.
Windows esetében még szükséges
openssl pkcs12 -inkey servername-privatekey.pem
-in az-niif-tol-letoltott.pem -name "write-YOUR-ORGANIZATION-here server certificate"
-certfile terena.pem -caname "Terena CA" -export
-out servername-all.pfx
Ezt szereti a IIS Certificate Wizardja.
Add a comment