Документация<Предыдущая | Содержание: | Следующая>
5.5. Центр сертификации
Если для служб в вашей сети требуется более нескольких самозаверяющих сертификатов, возможно, стоит приложить дополнительные усилия, чтобы настроить собственный внутренний Центр сертификации (CA). Использование сертификатов, подписанных вашим собственным ЦС, позволяет различным службам, использующим эти сертификаты, легко доверять другим службам, использующим сертификаты, выпущенные тем же ЦС.
1. Сначала создайте каталоги для хранения сертификата CA и связанных файлов:
sudo mkdir / etc / ssl / CA
sudo mkdir / etc / ssl / newcerts
2. ЦС требуется несколько дополнительных файлов для работы, один для отслеживания последнего серийного номера, использованного ЦС, каждый сертификат должен иметь уникальный серийный номер, а другой файл для записи выданных сертификатов:
sudo sh -c "echo '01'> / etc / ssl / CA / serial" sudo touch /etc/ssl/CA/index.txt
3. Третий файл - это файл конфигурации CA. Хотя это и не обязательно, но очень удобно при выдаче нескольких сертификатов. Редактировать /etc/ssl/openssl.cnfИ в [CA_default] изменение:
dir = / etc / ssl # Где все хранится database = $ dir / CA / index.txt # индексный файл базы данных. certificate = $ dir / certs / cacert.pem # Сертификат CA
serial = $ dir / CA / serial # Текущий серийный номер private_key = $ dir / private / cakey.pem # Закрытый ключ
4. Затем создайте самоподписанный корневой сертификат:
openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650
Затем вам будет предложено ввести данные о сертификате.
5. Теперь установите корневой сертификат и ключ:
sudo mv cakey.pem / etc / ssl / private / sudo mv cacert.pem / etc / ssl / certs /
6. Теперь вы готовы приступить к подписанию сертификатов. Первым необходимым элементом является запрос на подпись сертификата (CSR), см. Раздел 5.2, «Создание запроса на подпись сертификата (CSR)» [стр. 199] для подробностей. Если у вас есть CSR, введите следующее, чтобы сгенерировать сертификат, подписанный CA:
sudo openssl ca -in server.csr -config /etc/ssl/openssl.cnf
После ввода пароля для ключа CA вам будет предложено подписать сертификат и еще раз подтвердить новый сертификат. После этого вы должны увидеть довольно большой объем вывода, связанный с созданием сертификата.
7. Теперь должен быть новый файл, /etc/ssl/newcerts/01.pem, содержащий тот же результат. Скопируйте и вставьте все, что начинается со строки: ----- НАЧАТЬ СЕРТИФИКАТ ----- и продолжая через строку: ---- КОНЕЦ СЕРТИФИКАТА ----- строк в файл, названный по имени хоста сервера, на котором будет установлен сертификат. Например mail.example.com.crt, - красивое описательное имя.
Последующие сертификаты будут названы 02.пэм, 03.пэм, и т.д.
Замените mail.example.com.crt с вашим собственным описательным именем.
8. Наконец, скопируйте новый сертификат на хост, которому он нужен, и настройте соответствующие приложения для его использования. Расположение по умолчанию для установки сертификатов: / и т.д. / SSL / сертификаты. Это позволяет нескольким службам использовать один и тот же сертификат без чрезмерно сложных прав доступа к файлам.
Для приложений, которые могут быть настроены на использование сертификата CA, вы также должны скопировать / и т.д. / SSL / сертификаты / cacert.pem подать в / и т.д. / SSL / сертификаты / каталог на каждом сервере.