Темы
Сертификаты в WINDOWS
Сертификаты в Linux
Автоматизируем создание SSL Ключа и CSR
Сертификаты в WINDOWS
Дано:
Apache 2.4.x установлен в C:\Apache\
каталог хранения сертификатов C:\certs\apache\
- Код: выделить все
cd C:\Apache\bin
openssl req -config ..\conf\openssl.cnf -nodes -newkey rsa:2048 -keyout server.key -out server.pem
далее отвечаем на вопросы
- Код: выделить все
Country Name (2 letter code) [RU]:
State or Province Name (full name) [Some-State]:Moskovskaja
Locality Name (eg, city) []:Zheleznodorozhnyj
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Home
Organizational Unit Name (eg, section) []:Eng
Common Name (e.g. server FQDN or YOUR name) []:pma.serg.ru.
Email Address []:ssergey.mail333.com
Оставшиеся два вопроса оставляем без ответа (ENTER)
- Код: выделить все
openssl x509 -in server.pem -out server.cert -req -signkey server.key -days 900
Копируем полученные сертификаты в каталог хранения сертификатов
- Код: выделить все
copy server.* C:\certs\apache\
Для проверки настроек подключения сертификатов открываем файл C:\Apache\conf\extra\httpd-ssl.conf
- Код: выделить все
SSLCertificateFile "C:/certs/apache/server.crt"
SSLCertificateKeyFile "C:/certs/apache/server.key"
Сертификаты в Linux
- Генерируем private key частный (секретный) ключ по алгоритму RSA с длинной ключа 2048 бита
и с именем выходного файла fs.key. Частный ключ всегда храниться на сервере и никогда никуда
не передаётся При утрате частного ключа нужно перегенитить ключ и все сертификаты, в выпуске которых
он участвовал Файл ключа всегда должен иметь права RW только для владельца файла (600)- Код: выделить все
openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out pma.free-adm.ru.key
- Далее воспользуеися только что полученным ключом для создания запроса на выдачу нового цифрового сертификата.
- Код: выделить все
openssl req -new -key pma.free-adm.ru.key -out pma.free-adm.ru.csr
- Для получения самоподписанного приватным ключом сертификата на основе запроса на выдачу сертификата со сроком действия 365 дней.
- Код: выделить все
openssl x509 -req -days 365 -in pma.free-adm.ru.csr -signkey pma.free-adm.ru.key -out pma.free-adm.ru.crt
- Копируем ключ и сертификат в каталоги их постоянного хранения.
- Код: выделить все
cp pma.free-adm.ru.crt /etc/pki/tls/certs/ && cp pma.free-adm.ru.key /etc/pki/tls/private/
- Необходимо подключить сгенерированные сертификат и ключ в конфигурационном файле хоста Apache. Для этого необходимо отредактировать следующие директивы конфигурации.
- Код: выделить все
SSLCertificateFile "/etc/pki/tls/certs/pma.free-adm.ru.crt"
SSLCertificateKeyFile "/etc/pki/tls/private/pma.free-adm.ru.key"
Автоматизируем создание SSL Ключа и CSR
Используйте следующую команду для генерации нового 2048-битного секретного ключа pma.free-adm.ru.key и создания CSR pma.free-adm.ru.csr на его основании:
- Код: выделить все
domain="pma.free-adm.ru"
openssl req -nodes -newkey rsa:2048 -keyout $domain.key -out $domain.csr -subj "/C=RU/ST=Moscow area/L=Zheleznodorozhnyi/O=Free-Adm/OU=IT Department/CN=$domain"
Команда для получения самоподписанного приватным ключом сертификата на основе запроса на выдачу сертификата со сроком действия 365 дней.
- Код: выделить все
openssl x509 -req -days 365 -in $domain.csr -signkey $domain.key -out $domain.crt
Копируем ключ и сертификат в каталоги их постоянного хранения.
- Код: выделить все
cp $domain.crt /etc/pki/tls/certs/ && cp $domain.key /etc/pki/tls/private/
Необходимо подключить сгенерированные сертификат и ключ в конфигурационном файле хоста Apache. Для этого необходимо отредактировать следующие директивы конфигурации.
- Код: выделить все
echo "SSLCertificateFile \"/etc/pki/tls/certs/$domain.crt\""
echo "SSLCertificateKeyFile \"/etc/pki/tls/private/$domain.key\""
