[WikiDyd] [TitleIndex] [WordIndex

Cel zajęć

Uruchomienie i skonfigurowanie usług działających z wykorzystaniem protokołu SSL. Generowanie certyfikatów i ich podpisywanie.

Wprowadzenie

Uruchomienie https
Protokół SSL/TLS i biblioteka OpenSSL daje możliwość ustanowienia bezpiecznego połączenia wielu różnych programów. W trakcje zajęć zajmiemy się konfiguracją serwera stron WWW Apache w połączeniu z modułem mod_ssl

W celu uruchomienia serwera obsługującego połączenia protokołu https, konieczne jest zainstalowanie modułu mod_ssl.

Ceryfikat samopodpisany
Do wygenerowania odpowiednich kluczy kryptograficznych i certyfikatów wykorzystamy program openssl.

Zaczynamy od poleceń potrzebnych do wygenerowania klucza:

#Tworzenie klucza RSA
openssl genrsa -des3 -out testowy.key 1024

#Podglad klucza
openssl rsa -noout -text -in testowy.key    

Następującym poleceniem stworzymy samopodpisany certyfikat:

openssl req -new -x509 -days 365 -key testowy.key -out testowy.crt

#Podgląd certyfikatu
openssl x509 -noout -text -in testowy.crt

Certyfikacja pełna
Proces uzyskania certyfikatu podpisanego przez zewnętrzną organizację rozpoczyna się podobnie jak w przypadku certyfikatu samopodpisanego - od wygenerowania kluczy. Następnie należy wygenerować prośbę o certyfikat:

#Stworzenie pliku prosby o certyfikacje
openssl req -new -key test.key -out test.csr

#Podglad prosby
openssl req -noout -text -in test.csr

Plik prośby *.csr powinien być przekazany do urzędu certyfikującego (CA). Urząd certyfikujący korzystając ze swojego klucza i certyfikatu podpisuje prośbę, która od tego momentu staje się podpisanym certyfikatem. Podpisywanie prośby nie jest już jednolinijkowym wywołaniem openssl, a więc wykorzystamy skrypt sign.sh Skrypt ten zakłada, że klucz urzędu certyfikującego znajduje się w pliku ca.key, a jego certyfikat w pliku ca.crt. Jeśli tak będzie, to jego wywołanie jest proste:

./sign.sh test.csr

Potrzebna wiedza

Dodatkowe informacje

Hasła dla Google: apache, mod_ssl

Przykładowe zadania

  1. Uruchomienie serwera z obsługą https z certyfikatem samopodpisanym.
  2. Uruchomienie serwera korzystającego z certyfikatu podpisanego przez inny serwer.
  3. Doprowadzenie do sytacji, w której przeglądarka będzie bez ostrzeżeń akceptowała wygenerowany certyfikat.

2015-09-23 06:44