|
|
Jak si vyrobit testovací certifikát
Nejdříve ze všeho si musíte vygenerovat privátní bezpečný
RSA klíč. Pro toto potřebujete vytvořit soubor .rnd plný náhodných
a snadno nezjistitelných dat. Ten bude použit pro generování RSA klíče.
Vhodné jsou například soubory WAV obsahující šum, nebo náhodně napsaná
slova, fráze a znaky, či nějaký obrázek JPG. Pro samotné vygenerování klíče
pak použijte příkaz (tento je v souboru cert\gen_key.bat):
ssleay genrsa -rand .rnd -out key.pem 1024
Tento příkaz pak vygeneruje 1024-bitový privátní RSA klíč
a uloží jej do souboru key.pem. Tento klíč může vypadat například
takto:
-----BEGIN RSA PRIVATE KEY-----
MIIBOwIBAAJBALtv55QyzG6i2PlwZ1pah7++Gv8L5j6Hnyr/uTZE1NLG0ABDDexm
q/R4KedLjFEIYjocDui+IXs62NNtXrT8odkCAwEAAQJAbwXq0vJ/+uyEvsNgxLko
nWmM1KvqnAo5uQIhALqEADu5U1Wvt8UN8UDGBRPQulHWNycuNV45d3nnskWPAiAw
ueTyr6WsZ5+SD8g/Hy3xuvF3nPmJRH+rwvVihlcFOg==
-----END RSA PRIVATE KEY-----
Pamatujte, že váš bezpečný certifikát (digitální ID) bude
nepoužitelný bez privátního RSA klíče. Poté je třeba si vyrobit požadavek
pro certifikační autoritu (CSR). CSR je to co obsahuje informace po certifikát
- zemi, doménu, jméno, atd. Formát certifikátu, který je používán PNWS-SSL
serverm je totožný s tím, jako například používá Apache-SSL
server. Pro generování požadavku použijte tento příkaz (je uložen v
souboru cert\gen_reg.bat):
ssleay req -new -key key.pem -out req.pem -config ssleay.cnf
Požadavek může vypadat například takto:
-----BEGIN CERTIFICATE REQUEST-----
MIIBGzCBxgIBADBjMQswCQYDVQQGEwJBVTETMBEGA1UECBMKUXVlZW5zbGFuZDEa
MBgGA1UEChMRQ3J5cHRTb2Z0IFB0eSBMdGQxIzAhBgNVBAMTGkNsaWVudCB0ZXN0
2NNtXrT8odkCAwEAATANBgkqhkiG9w0BAQQFAANBAC5JBTeji7RosqMaUIDzIW13
oO6+kPhx9fXSpMFHIsY3aH92Milkov/2A4SuZTcnv/P6+8klmS0EaiUKcRzak4E=
-----END CERTIFICATE REQUEST-----
Nyní tedy máte požadavek uložen v souboru req.pem
a privátní klíč v souboru key.pem. Soubor key.pem uložte
na bezpečné místo, protože jej budete potřebovat pro běh vašeho SSL serveru.
Je dobré si vytvořit záložní kopii souboru, protože bez něho je certifikát
od certifikační autority neplatný.
Pro zkušební běh vašeho PNWS-SSL serveru je možno si vygenerovat
vlastní zkušební certifikát. Tento certifikát se však nedoporučuje používat
pro jakýkoliv přenos důvěrných dat. Lze jej tedy použít pouze pro ODZKOUŠENÍ
serveru. Lze jej však bezpečně používat na firemním intranetu, kde Vám
jako správci všichni důvěřují a nehrozí útoky hackerů jako na skutečném
internetu. Pro vygenerování certifikátu, použijte následující příkaz (je
uložen v souboru cert\gen_cert_365_days.bat):
ssleay req -new -key key.pem -out cert.pem -x509 -config ssleay.cnf
Vygenerovaný soubor bude mít název cert.pem a
měl by vypadat asi jako následující ukázka:
-----BEGIN CERTIFICATE-----
MIICLjCCAZcCAQEwDQYJKoZIhvcNAQEEBQAwWzELMAkGA1UEBhMCQVUxEzARBgNV
BAgTClF1ZWVuc2xhbmQxGjAYBgNVBAoTEUNyeXB0U29mdCBQdHkgTHRkMRswGQYD
dp7jnmWZwKZ9cXsNUS2o4OL07qOk2HOywC0YsNZQsOBu1CBTYYkIefDiKFL1zQHh
8lwwNd4NP+OE3NzUNkCfh4DnFfg9WHkXUlD5UpxNRJ4gJA==
-----END CERTIFICATE-----
Nyní soubory .rnd, key.pem a cert.pem
uložte do adresáře k PNWS-SSL serveru. Nyní je již tedy vše připraveno
pro běh SSL serveru.
|
|
Vítejte
| Mailing list
