Saját root CA cert használata
- A hozzászóláshoz regisztráció és belépés szükséges
2009, december 12 - 03:38
A sokak által használt SSL alapú szolgáltatásokon kívül minden szerveren szükség van olyan virtual hostra, ami SSL-t használ.
Erre jó példa az adminisztrációs felület, a webmail vagy más, hitelesítést igénylő szolgáltatás.
Mivel ezeket csak ügyfelek, vagy közvetlenül a rendszergazda használja, nincs sok értelme fizetős SSL kulcsot használni hozzájuk.
Azonban az önmagával aláírt (self-signed) SSL kulcs esetében csúnya hibaüzenetet dobnak a böngészők, amitől mindenki megijed (lásd ie7, hiába adjuk hozzá a megbízható kulcsokhoz, minden alkalommal figyelmeztetést ad)
Ebben az esetben érdemes a saját root CA tanusítvány generálása, amivel aláírhatjuk az összes SSL kulcsunkat.
Így elég a root CA tanusítványt egyszer beimportálni a kliensekbe (ill. az oprendszerbe) és onnantól az ezzel aláírt SSL kulcsokat mind megbízhatónak fogja ítélni a rendszer.
Természetesen a szolgáltatásokat használók az első login előtt be kell hogy importálják a root CA-t, de erről egyszerűen lehet őket tájékoztatni.
pl. kitehetjük a weboldalra egy rövid ismertetővel, valahogy így: http://www.3gteam.hu/hu/hasznalat/hasznalat-titkositott-ssl-csatornan.html
Természetesen SSL alapú FTP, IMAP, POP3 vagy SMTP is működik ilyen módon, és nem kell a levelező kliens minden indításakor az OK-ra klikkelni Mosoly
A mi cégünk esetében, ahol több szervert adminisztrálunk, nagyban leegyszerűsíti a munkát a közös root CA használata.
Természetesen a root CA kulcsát nem szabad kiadni, csak az aláírt tanusítványt.
2009, december 12 - 03:44
#2
SSL tanusítvány aláírása a saját root CA kulccsal
Az új SSL kulcsokat és az aláírási kérelmet (certificate signing request, csr) a szokásos módon generáljuk:
openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr
Fizetős, vagy CAcert SSL esetében most a server.csr file-t kellene elküldenünk hitelesítésre, és visszakapnánk válaszul a server.crt tanusítványt.
E helyett mi most a saját root CA kulcsunkkal fogjuk aláírni:
openssl x509 -req -in server.csr -CA sajatCA.crt -CAkey sajatCA.key -days 8000 -sha1 -out server.crt
Ezzel kész is az első, saját CA használatával aláírt SSL tanusítványunk.
- A hozzászóláshoz regisztráció és belépés szükséges
Először a root kulcsot készítjük el, természetesen root userként.
A kulcs hossza 4096, ami kicsit lassabban készül el, de ezt csak egyszer kell megtennünk.
openssl genrsa -des3 -out sajatCA.key 4096Ez az a kulcs, amit biztonságban kell tárolni, ezért:
chmod 600 sajatCA.keyEzek után elkészítjük a tanusítványt a root key alapján:
Természetesen az érvényesség legyen legalább 30 év :)
openssl req -new -x509 -days 19000 -extensions v3_ca -key sajatCA.key -out sajatCA.crtEzzel meg is van a saját root CA tanusítványunk. Ezt a fájlt olvashatja mindenki, sőt, publikálhatjuk is weben.
Szükség van még egy serial file-ra is, ami majd az aláíráshoz kell:
echo 00 >sajatCA.srltoci
3gteam networksolutions