|
|
Jak si vyrobit testovacφ certifikßt
Nejd°φve ze v╣eho si musφte vygenerovat privßtnφ bezpeΦn²
RSA klφΦ. Pro toto pot°ebujete vytvo°it soubor .rnd pln² nßhodn²ch
a snadno nezjistiteln²ch dat. Ten bude pou╛it pro generovßnφ RSA klφΦe.
VhodnΘ jsou nap°φklad soubory WAV obsahujφcφ ╣um, nebo nßhodn∞ napsanß
slova, frßze a znaky, Φi n∞jak² obrßzek JPG. Pro samotnΘ vygenerovßnφ klφΦe
pak pou╛ijte p°φkaz (tento je v souboru cert\gen_key.bat):
ssleay genrsa -rand .rnd -out key.pem 1024
Tento p°φkaz pak vygeneruje 1024-bitov² privßtnφ RSA klφΦ
a ulo╛φ jej do souboru key.pem. Tento klφΦ m∙╛e vypadat nap°φklad
takto:
-----BEGIN RSA PRIVATE KEY-----
MIIBOwIBAAJBALtv55QyzG6i2PlwZ1pah7++Gv8L5j6Hnyr/uTZE1NLG0ABDDexm
q/R4KedLjFEIYjocDui+IXs62NNtXrT8odkCAwEAAQJAbwXq0vJ/+uyEvsNgxLko
nWmM1KvqnAo5uQIhALqEADu5U1Wvt8UN8UDGBRPQulHWNycuNV45d3nnskWPAiAw
ueTyr6WsZ5+SD8g/Hy3xuvF3nPmJRH+rwvVihlcFOg==
-----END RSA PRIVATE KEY-----
Pamatujte, ╛e vß╣ bezpeΦn² certifikßt (digitßlnφ ID) bude
nepou╛iteln² bez privßtnφho RSA klφΦe. PotΘ je t°eba si vyrobit po╛adavek
pro certifikaΦnφ autoritu (CSR). CSR je to co obsahuje informace po certifikßt
- zemi, domΘnu, jmΘno, atd. Formßt certifikßtu, kter² je pou╛φvßn PNWS-SSL
serverm je toto╛n² s tφm, jako nap°φklad pou╛φvß Apache-SSL
server. Pro generovßnφ po╛adavku pou╛ijte tento p°φkaz (je ulo╛en v
souboru cert\gen_reg.bat):
ssleay req -new -key key.pem -out req.pem -config ssleay.cnf
Po╛adavek m∙╛e vypadat nap°φklad takto:
-----BEGIN CERTIFICATE REQUEST-----
MIIBGzCBxgIBADBjMQswCQYDVQQGEwJBVTETMBEGA1UECBMKUXVlZW5zbGFuZDEa
MBgGA1UEChMRQ3J5cHRTb2Z0IFB0eSBMdGQxIzAhBgNVBAMTGkNsaWVudCB0ZXN0
2NNtXrT8odkCAwEAATANBgkqhkiG9w0BAQQFAANBAC5JBTeji7RosqMaUIDzIW13
oO6+kPhx9fXSpMFHIsY3aH92Milkov/2A4SuZTcnv/P6+8klmS0EaiUKcRzak4E=
-----END CERTIFICATE REQUEST-----
Nynφ tedy mßte po╛adavek ulo╛en v souboru req.pem
a privßtnφ klφΦ v souboru key.pem. Soubor key.pem ulo╛te
na bezpeΦnΘ mφsto, proto╛e jej budete pot°ebovat pro b∞h va╣eho SSL serveru.
Je dobrΘ si vytvo°it zßlo╛nφ kopii souboru, proto╛e bez n∞ho je certifikßt
od certifikaΦnφ autority neplatn².
Pro zku╣ebnφ b∞h va╣eho PNWS-SSL serveru je mo╛no si vygenerovat
vlastnφ zku╣ebnφ certifikßt. Tento certifikßt se v╣ak nedoporuΦuje pou╛φvat
pro jak²koliv p°enos d∙v∞rn²ch dat. Lze jej tedy pou╛φt pouze pro ODZKOU⌐EN═
serveru. Lze jej v╣ak bezpeΦn∞ pou╛φvat na firemnφm intranetu, kde Vßm
jako sprßvci v╣ichni d∙v∞°ujφ a nehrozφ ·toky hacker∙ jako na skuteΦnΘm
internetu. Pro vygenerovßnφ certifikßtu, pou╛ijte nßsledujφcφ p°φkaz (je
ulo╛en v souboru cert\gen_cert_365_days.bat):
ssleay req -new -key key.pem -out cert.pem -x509 -config ssleay.cnf
Vygenerovan² soubor bude mφt nßzev cert.pem a
m∞l by vypadat asi jako nßsledujφcφ ukßzka:
-----BEGIN CERTIFICATE-----
MIICLjCCAZcCAQEwDQYJKoZIhvcNAQEEBQAwWzELMAkGA1UEBhMCQVUxEzARBgNV
BAgTClF1ZWVuc2xhbmQxGjAYBgNVBAoTEUNyeXB0U29mdCBQdHkgTHRkMRswGQYD
dp7jnmWZwKZ9cXsNUS2o4OL07qOk2HOywC0YsNZQsOBu1CBTYYkIefDiKFL1zQHh
8lwwNd4NP+OE3NzUNkCfh4DnFfg9WHkXUlD5UpxNRJ4gJA==
-----END CERTIFICATE-----
Nynφ soubory .rnd, key.pem a cert.pem
ulo╛te do adresß°e k PNWS-SSL serveru. Nynφ je ji╛ tedy v╣e p°ipraveno
pro b∞h SSL serveru.
|
|
Vφtejte
| Mailing list
