#language cs
## 16.09.2015 AK
## stránka byla přejmenována z KnowledgeBase/Server/SimpleApacheCert
## stránka byla přejmenována z SimpleApacheCert
----
 '''česky''' | [[Technology/KnowledgeBase/Server/SimpleApacheCert|english]]
----
 . '''NOTA BENE -  ROZPRACOVÁNO''' - [[#Inputs_&_Thoughts|Vaše příspěvky a úvahy]] :-)

 . '''Pro Technology [[Technology#Technology_Knowledge_Base| Báze znalostí]]'''  - '''Pro Technology [[Technology/KnowledgeBase| Báze znalostí - přehled]]''' - '''Pro Technology [[Technology/KnowledgeBase/Server| Báze znalostí - serverové certifikáty]]''' - Tento článek je také v '''podpoře''' pro '''[[Technology/TechnicalSupport/SysAdmin| správce systému (System Administrators)]]'''

= Vytváření jednoduchých certifikátů Apache =

Tato stránka popisuje základní nastavení. Pro důmyslnější použití a další odkazy nahlédněte do [[http://httpd.apache.org/docs/trunk/ssl/index.html#mod-ssl|dokumentace mod_ssl]].

Chcete-li pouze certifikát pro Apache server na jednom webu, je toto pravděpodobně nejjednodušší způsob, jak získat CAcertem podepsaný certifikát. Ve složitějších případech konzultujte [[Technology/TechnicalSupport/SysAdmin/ApacheServer/CZ| Server Apache]] a [[CSRGenerator/CZ| Generátor žádosti pro Apache]]. 

Tento návod by měl fungovat s Apache 2.x na Unixech a Windows. Pravděpodobně také na jiných systémech.

 1. Jakmile Apache běží s mod_ssl, budete muset registrovat doménovou část názvu Vašeho webového serveru (například "example.org" pro server "www.example.org") ve svém účtu u CAcert. Jděte tedy na [[https://www.cacert.org|domovskou stránku CAcert]], přihlaste se, zvolte menu "Domény -> Přidat" a postupujte podle zobrazených instrukcí. Je-li Vaše doména zobrazena v "Domény -> Zobrazit" jako "Ověřeno", můžete pokračovat a vygenerovat si certifikát pro svůj server.

 1. Získejte openssl, pokud ještě není instalováno ve Vašem systému. Nemůžete-li ho najít jinde, zkuste [[http://www.openssl.org/related/binaries.html|openssl web]], kde je binární verze pro Windows.

 1. Vygenerujte žádost o podpis certifikátu (CSR) příkazem:
 {{{
openssl req -newkey rsa:2048 -subj /CN=<FQDN název Vašeho serveru> -nodes -keyout <název souboru pro Váš privátní klíč> -out <název souboru pro žádost o podpis certifikátu (CSR)>
 }}}

 Například {{{openssl req -newkey rsa:2048 -subj /CN=www.example.org -nodes -keyout example_key.pem -out example_csr.pem}}} vygeneruje CSR pro server www.example.org do souboru example_csr.pem a uloží odpovídající nezašifrovaný privátní klíč do souboru example_key.pem.

 1. Jděte na [[https://www.cacert.org|CACert]], přihlaste se a zvolte menu "Certifikáty serveru -> Nový". [Máte-li dostupný zprostředkující certifikát třídy 3, vyberte raději certifikát třídy 3.]

 1. Použijte Kopírovat/Vložit k vložení svojí CSR (tedy obsahu souboru example_csr.pem v předchozím příkladu) do velkého pole, včetně řádků na začátku a na konci žádosti ({{{ -----BEGIN CERTIFICATE REQUEST----- }}} a {{{ -----END CERTIFICATE REQUEST----- }}}) a zkontrolujte, že je vložena celá a úplná žádost. [Označte také, že souhlasíte s Dohodou komunity CAcert (CCA).]

 1. Stiskněte "Odeslat" a Váš certifikát bude vygenerován. Pokud jste tedy neudělal(a) chybu. Jestliže ano, přečtěte si chybové hlášení, snažte se pochopit, co se Vám snaží říci a zkuste to znovu bezchybně. ;)

 1. Použijte Kopírovat/Vložit (do svého oblíbeného editoru) k uložení certifikátu do souboru (řekněme s názvem example_cert.pem).

 1. Přesuňte privátní klíč a certifikát do vhodného místa. Standardní instalace Apache poskytují v konfiguračním adresáři podadresáře ssl.key pro privátní klíč a ssl.crt pro certifikát. Chcete-li uschovat CSR pro pozdější potřebu (i když už ho asi potřebovat nebudete), je tam i podadresář nazvaný ssl.csr.

 1. Použijete-li certifikát třídy 3, jak navrženo, budete potřebovat soubor pro řetěz certifikátů. To jsou prostě kořenové certifikáty třídy 3 a třídy 1 ve formátu PEM, uložené v souboru jeden za druhým. Udělejte to sami, nebo stáhněte tento hotový soubor: [[attachment:CAcert_chain.pem|attachments]].

 1. Uložte soubor řetězu certifikátů do adresáře ssl.crt pod názvem CAcert_chain.pem pro budoucí potřebu.

 1. Nyní už jen správně konfigurujte mod_ssl v serveru Apache. Pro použití sady certifikátů nastavte do své konfigurace SSL údaje:

 {{{
SSLCertificateFile <Cesta k Vašemu souboru certifikátů>/example_cert.pem
SSLCertificateKeyFile <Cesta k Vašemu souboru klíčů>/example_key.pem
SSLCertificateChainFile <Cesta k Vašemu souboru řetězu certifikátů>/CAcert_chain.pem
 }}}

 1. To je vše. Restartujte svůj Apache a sledujte, jak funguje!
<<BR>>

----

== Příspěvky a úvahy ==

 . 13.11.2009-[[RogerCPao]]

 . {{{
 #!/bin/sh
 wget http://www.cacert.org/certs/root.txt
 wget http://www.cacert.org/certs/class3.txt
 cat class3.txt root.txt > CAcert_chain.pem
 }}}

----
 . 16.11.2009-[[Martin N Brampton]] /e-mail

 . {{{
Díky mnohé, teď jsem to zjistil. Polovina problému je, že moje servery běží s WHM/cPanel a je těžké vidět tou módní věcí skutečnou konfiguraci Apache. Nyní jsem přidal certifikát CA do ca-bundle.crt a upravil konfiguraci Apache, aby ten soubor odkazovala. Myslím, že předtím tam žádná certifikace certifikační autoritou nebyla.

S úctou Martin
 }}}

----

 . YYYYMMDD-Vaše_jméno

 . {{{
Text / Vaše příspěvky, úvahy a e-mailové výstřižky, prosím
 }}}

----

 . YYYYMMDD-Vaše_jméno

 . {{{
Text / Vaše příspěvky, úvahy a e-mailové výstřižky, prosím
 }}}

----
<<BR>>
'''Kategorie''' nebo '''Více kategorií'''<<BR>>

CategoryGuides