• SimpleApacheCert
• CZ

• česky | english

• NOTA BENE - ROZPRACOVÁNO (WORK IN PROGRESS) - Vaše příspěvky a úvahy

• K Technologii Báze znalostí - K Technologii Báze znalostí - přehled - K Technologii Báze znalostí - server - Tento článek najdete také na Podpoře pro Správce systému

Jak vytvořit jednoduchý certifikát v Apache

• Napsal DanielBlack

• Nejdříve jděte do dokumentace mod_ssl, kde je základní konfigurace mod_ssl. Já však nebudu postupovat podle mod_ssl, ale pokusím se ukázat Vám způsob, jak získat a instalovat certifikát CAcert.

• Chcete-li certifikát pro jediný web se serverem Apache, je toto pravděpodobně nejjednodušší způsob, jak získat certifikát podepsaný CAcertem. Ve složitějších případech se podívejte na ApacheServer a VhostsApache.

• Tento návod by měl fungovat s Apache 2.x na Unixech a Windows, pravděpodobně i na jiných systémech.

• Když Apache běží v mod_ssl, budete muset zaregistrovat doménovou složku svého webového serveru (například "example.org" pro server "www.example.org") ve svém účtu CAcert. Jděte tedy na hlavní stránku CAcert, přihlaste se, z menu (vpravo) zvolte "Domény -> Přidat" a postupujte podle nápovědy. Zobrazuje-li se u Vaší domény (v "Domény" -> "Zobrazit") slovo "Ověřeno", můžete pokračovat a vygenerovat si certifikát pro svůj server.

• Získejte openssl, pokud už není instalováno na Vašem systému. Nemůžete-li je najít jinde, zkuste openssl web, kde je binární verze pro Windows.

• Vygenerujte si žádost o podpis certifikátu (CSR) příkazem:

  • '''''Jeden krok'''''
    openssl req -newkey rsa:4096 -subj /CN=<DNS_adresa_Vašeho_serveru> -nodes -keyout <název souboru pro Váš privátní klíč> -out <název souboru pro žádost CSR>

    '''''Dva kroky'''''
    openssl genrsa -out <název souboru pro Váš privátní klíč> 4096
    openssl req -new -key <název souboru pro Váš privátní klíč> -out <název souboru pro žádost CSR>

• Příklad:

  • openssl req -newkey rsa:4096 -subj /CN=www.example.org -nodes -keyout example_key.pem -out example_csr.pem

  • generuje CSR pro server www.example.org do souboru example_csr.pem a uloží příslušný nezašifrovaný privátní klíč do souboru example_key.pem.

  • Když Vás skript openssl požádá, odpovězte na tyto otázky:

    • Otázka OpenSSL	Příklad odpovědi	Poznámky
      Country Name (2 letter code) [DE]:	CZ	později bude odstraněno
      State or Province Name (full name) [Some-State]:	Jihomoravský	později bude odstraněno
      Locality Name (eg, city) []:	Brno	později bude odstraněno
      Organization Name (eg, company) [Internet Widgits Pty Ltd]:	@doma	později bude odstraněno
      Organizational Unit Name (eg, section) []:		později bude odstraněno
      Common Name (e.g. server FQDN or YOUR name) []:	testserver3.mojedom.cz	později bude použito ke kontrole
      Email Address []:	primární.e-mail.z.mého.účtu.u.CAcert	později bude použito ke kontrole
      Please enter the following 'extra' attributes
      to be sent with your certificate request
      A challenge password []:
      An optional company name []:

• Jděte na CACert, přihlaste se a z menu zvolte "Certifikáty serveru -> Nový". Je-li Vám dostupný certifikát třídy 3, zvolte ho.

• Použijte Kopírovat/Vložit (Copy/Paste) pro vložení své žádosti o podpis certifikátu (CSR, obsah souboru example_csr.pem v našem příkladu) do velkého textového pole. Vložte i úvodní a koncový řádek:

  • -----BEGIN CERTIFICATE REQUEST-----

  • a

    -----END CERTIFICATE REQUEST-----

• a zkontrolujte, že po vložení není žádost zkrácena.

• Stiskněte "Odeslat" a Váš certifikát bude vygenerován. Ovšem jen pokud jste neudělali chybu. Když ano, přečtěte si hlášení chyby, pokuste se pochopit, co Vám říká a zkuste to znovu bezchybně.

• Použijte Kopírovat/Vložit (Copy/Paste) svého oblíbeného editoru pro uložení certifikátu do souboru (s názvem dejme tomu example_cert.pem).
• Přesuňte privátní klíč a certifikát do vhodného umístění (adresáře). Standardní instalace Apache vytvářejí v konfiguračním adresáři podadresáře ssl.key pro privátní klíč a ssl.crt pro certifikát. Chcete-li si zachovat i CSR (i když ho asi už nikdy nebudete potřebovat), je tu i adresář s názvem ssl.csr.

• Při používání certifikátu třídy 3, jak navrhuji, budete potřebovat soubor řetězu certifikátů. Jsou to zřetězené certifikáty třídy 3 a třídy 1, uložené ve formátu PEM. Můžete ho vytvořit sami nebo stáhnout z této přílohy.

• Uložte soubor řetězu certifikátů do adresáře ssl.crt a nazvěte ho CAcert_chain.pem pro pozdější odkazy.
• Zbývá už jen správně konfigurovat mod_ssl v Apache. Sadu certifikátů použijte v těchto direktivách své konfigurace SSL:

• SSLCertificateFile <Cesta k Vašemu souboru certifikátu>/example_cert.pem
  SSLCertificateKeyFile <Cesta k Vašemu souboru klíče>/example_key.pem
  SSLCertificateChainFile <Cesta k Vašemu souboru řetězu certifikátů>/CAcert_chain.pem
   . 

• A je to vše. Restartujte Apache a zkontrolujte, jak pracuje!

Obnova existujícího certifikátu

• Pro obnovu certifikátu existující konfigurace Apache potřebujete certifikát obnovit pomocí webového interface CAcert a pak nahradit existující certifikát (v našem příkladu <Cesta k Vašemu souboru certifikátu>/example_cert.pem) nově získaným certifikátem.

Příspěvky a úvahy

• RRRRMMDD-Vaše_jméno

• Text / Vaše příspěvky, úvahy a úryvky e-mailů - prosím sem

• CategoryGuide