|
|
Jak sehnat platný certifikát
Platný certifikát, neboli ten, který je vydaný někým třetím,
je nutný pro komerční či jinak důvěryhodné spojení s klienty. Tento certifikát
je vystaven certifikační autoritou, kterou si zvolíte. Mezi uznávané a
doporučované patří například Verisign (www.verisign.com)
nebo Thawte (www.thawte.com). V čechách
je například certifikační autoritou ICA (www.ica.cz).
Nejdříve ze všeho si musíte vygenerovat privátní bezpečný
RSA klíč. Pro toto potřebujete vytvořit soubor .rnd plný náhodných
a snadno nezjistitelných dat. Ten bude použit pro generování RSA klíče.
Vhodné jsou například soubory WAV obsahující šum, nebo náhodně napsaná
slova, fráze a znaky, či nějaký obrázek JPG. Pro samotné vygenerování klíče
pak použijte příkaz (tento je v souboru cert\gen_key.bat):
ssleay genrsa -rand .rnd -out key.pem 1024
Tento příkaz pak vygeneruje 1024-bitový privátní RSA klíč
a uloží jej do souboru key.pem. Tento klíč může vypadat například
takto:
-----BEGIN RSA PRIVATE KEY-----
MIIBOwIBAAJBALtv55QyzG6i2PlwZ1pah7++Gv8L5j6Hnyr/uTZE1NLG0ABDDexm
q/R4KedLjFEIYjocDui+IXs62NNtXrT8odkCAwEAAQJAbwXq0vJ/+uyEvsNgxLko
nWmM1KvqnAo5uQIhALqEADu5U1Wvt8UN8UDGBRPQulHWNycuNV45d3nnskWPAiAw
ueTyr6WsZ5+SD8g/Hy3xuvF3nPmJRH+rwvVihlcFOg==
-----END RSA PRIVATE KEY-----
Pamatujte, že váš bezpečný certifikát (digitální ID) bude
nepoužitelný bez privátního RSA klíče. Poté je třeba si vyrobit požadavek
pro certifikační autoritu (CSR). CSR je to co obsahuje informace po certifikát
- zemi, doménu, jméno, atd. Formát certifikátu, který je používán PNWS-SSL
serverm je totožný s tím, jako například používá Apache-SSL
server. Požadavek je pak poslán k Certifiační autoritě k ověření. Po
ověření pravděpodobně obdržíte certifikát. Pro generování požadavku použijte
tento příkaz (je uložen v souboru cert\gen_reg.bat):
ssleay req -new -key key.pem -out req.pem -config ssleay.cnf
Požadavek může vypadat například takto:
-----BEGIN CERTIFICATE REQUEST-----
MIIBGzCBxgIBADBjMQswCQYDVQQGEwJBVTETMBEGA1UECBMKUXVlZW5zbGFuZDEa
MBgGA1UEChMRQ3J5cHRTb2Z0IFB0eSBMdGQxIzAhBgNVBAMTGkNsaWVudCB0ZXN0
2NNtXrT8odkCAwEAATANBgkqhkiG9w0BAQQFAANBAC5JBTeji7RosqMaUIDzIW13
oO6+kPhx9fXSpMFHIsY3aH92Milkov/2A4SuZTcnv/P6+8klmS0EaiUKcRzak4E=
-----END CERTIFICATE REQUEST-----
Nyní tedy máte požadavek uložen v souboru req.pem
a privátní klíč v souboru key.pem. Soubor key.pem uložte
na bezpečné místo, protože jej budete potřebovat pro běh vašeho SSL serveru.
Je dobré si vytvořit záložní kopii souboru, protože bez něho je certifikát
od certifikační autority neplatný.
Požadavek na certifikát (tedy soubor req.pem)
pošlete Certifikační Autoritě (CA). Poté co CA váš požadavek zpracuje,
obdržíte od ní certifikát. Pokud je na výběr z několika možných formátů,
zvolte vždy PEM formát. Certifikát následně uložte do souboru cert.pem.
Tento soubor by měl vypadat asi takto:
-----BEGIN CERTIFICATE-----
MIICLjCCAZcCAQEwDQYJKoZIhvcNAQEEBQAwWzELMAkGA1UEBhMCQVUxEzARBgNV
BAgTClF1ZWVuc2xhbmQxGjAYBgNVBAoTEUNyeXB0U29mdCBQdHkgTHRkMRswGQYD
dp7jnmWZwKZ9cXsNUS2o4OL07qOk2HOywC0YsNZQsOBu1CBTYYkIefDiKFL1zQHh
8lwwNd4NP+OE3NzUNkCfh4DnFfg9WHkXUlD5UpxNRJ4gJA==
-----END CERTIFICATE-----
Nyní soubory .rnd, key.pem a cert.pem
uložte do adresáře k PNWS-SSL serveru. Nyní je již tedy vše připraveno
pro běh SSL serveru se skutečným certifikátem.
|
|
Vítejte
| Mailing list
