APACHE - SSL, nastaveni, vytvoreni certifikatu
Vytvoreni certifikatu pro APACHE.
Pro vytvoreni certifikatu nepuzivam "make certificate", ale radeji
si certifikat udelam sam rucne. Je to lepsi, protoze pak muzu nastavit
automaicke spusteni SSL APACHE bez nutnosti zadavani hesla.
Nejprve si musite vytvorit privatni klic:
openssl genrsa -des3 2048 > www.domena.cz.key
Toto ovsem slouzi k vytvoreni privatniho klice, ale porad budeme muset pri
spusteni APACHE zadavat heslo. Toto odstranime vyjmuti -des3
openssl genrsa 2048 > www.domena.cz.key
ted jiz se nam vytvoril primarni klic jaky potrebujeme. Dale jeste
musime nastavit spravne prava k tomuto klici. Pokud bychom totiz
neprovedly zabezpeceni pravy certifikatu, mohl by se
ho nekdo zmocnit a napodobovat nas server a zabezpeceni by bylo prolomeno.
chmod 400 www.domena.cz.key
Ted byste meli pozadat certifikacni autoritu o zaslani certifikatu, ale za
to se plati, tak proto si pro nase potreby zajistime jen
docastny certifikat, ktery nam postaci pro nase potreby (omezeni www
prohlizece nam budou pro pristupu na zabezpecene stranky klasit,
ze certifikat neni autorizovat zadnou certifikacni autoritou).
Takze pro vytvoreni docastneho certifikatu CSR se to dela nasledovne.
openssl req -new -key www.domena.cz.key -out www.domena.cz.csr
Zde si kompletne popisete vlastnika certifikaty (stat, mesto, nazev firmy,
email, nazev serveru, ...). Heslo ke konci ani nemusite udavat, to
slouzi jen ke zmene certifikatu od certifikacni autority.
Vyplneni muze vypadat asi nasledovne:
Country Name (2 letter code) [AU]:CZ
State or Province Name (full name) [Some-State]:Czech Republic
Locality Name (eg, city) []:Brno
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Savvy
Organizational Unit Name (eg, section) []:Savvy
Common Name (eg, your name or your server's hostname) []:impa.savvy.cz
Email Address []:helpdesk@savvy.cz
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Jakmile byl docasny certifikat vytvoren, tak si ho i sami muzeme podepsat (na 10 let).
openssl req -x509 -key www.domena.cz.key -in www.domena.cz.csr -out www.savvy.cz.crt -days 3650
A timto jsme dodelali nas certifikat,ted ho staci jen pouzit v configuracnich souborech APACHE.
Zakladni nastaveni v APACHI pro spusteni SSL zabezpeceni.
Nejprve musime rici apachi aby neposlouchal jen na standartnim portu 80, ale i na portu 443. To docilime pridanim nebu
upravou radku.
Port 80
Listen 80
Listen 443
Dale musime podporu SSL zapnout:
# Zapnuti jadra SSL
SSLEngine on
# Cesta k privatnimu klici
SSLCertificateKey /neco/nekde/www.domena.cz.key
# Cesta k samotnemu certifikatu
SSLCertificateFele /neco/nekde/www.domena.cz.crt
Pokud nacitate modul dynamicky, musite jeste nacist prislusny modul "LoadMOdule" a "AddModule".
Timto jsme uspesne zprovoznili APACHE ze zabezpecenim SSL. Dale se jeste muzeme podivat jak zabezpecime virtualni ucty.
« Zpět na seznam