Чтобы сгенерировать CSR и приватный ключ в Апаче modSSL,
следуйте следующим инструкциям:
Первое, что Вы должны знать - это полное имя домена (FQDN)
для которого требуется сертификат.
Если Вы планируете входить на страничку https://
тогда Ваш FQDN имеет вид www.vashdomen.com.
www.vashdomen.com будет Вашим именем домена.
Сгенерируйте ключ следующей коммандой:
$ openssl genrsa -des3 -out www.vashdomen.com.key 1024
Эта комманда сгенерирует ключ 1024 бит RSA Private Key
и запишет его в файл www.vashdomen.com.key.
Во время генерации, будет задан вопрос:
(Enter pass phrase for www.vashdomen.com.key)
Используйте любое слово в сочетании букв, и запомните его.
Если Вы не хотите защитить свой ключ фразой(паролем)
(Только если Вы абсолютно уверены в своей машине,
и имеете к ней полный доступ так,
что сможете в любое время прочитать этот ключ)
Вы можете тогда запустить комманду без опции -des3.
Вопрос: Для чего нужен ключ?
Ответ: Сертификат без ключа будет бесполезен!
Вопрос: Обязательно ли вводить пароль? (с опцией -des3)
Ответ: Не обязательно. Это всего лиш способ защиты, но никак не параноя.
Запишите Ваш www.vashdomen.com.key файл и сделайте
запись контрольной фразы(например в записной книжке).
Хорошей идеей может служить запись файлы на дискету
или отдельный диск на домашней машине.
Теперь сделайте CSR следующей коммандой:
$ openssl req -new -key www.vashdomen.com.key -out www.vashdomen.com.csr
--Country Name (2 letter code) [AU]:DE
--State or Province Name (full name) [Some-State]:Brandenburg
--Locality Name (eg, city) []:Schwedt/Oder
--Organization Name (eg, company) [Internet Widgits Pty Ltd]:Ich-AG Nowikow
--Organizational Unit Name (eg, section) []:Hosting
--Common Name (eg, YOUR name) []:www.vashdomen.com
--Email Address []:
This e-mail address is being protected from spambots. You need JavaScript enabled to view it
--Please enter the following 'extra' attributes
--to be sent with your certificate request
--A challenge password []:
--An optional company name []:RuCable
Эта комманда, в процессе работы, будет выводить вопросы
(спрашивать Вас) о X.509 аттрибутов для Вашего сертификата.
Не забудьте дать имя www.vashdomen.com когда будет
задан вопрос `Common Name (eg, YOUR name)'.
Не вводите здесь Ваше персональное имя.
Когда корневой сервер запросит имя для домена, - это
имя должно будет совпадать с именем Вашего Вебсайта.
(требование браузеров). Таким образом Общее Название
должно соответствовать FQDN вашего вебсайта
На этом мы закончили генерацию ключа и файла подписи .csr
----------------------------------------------
Сгенерируйте временный self-signed сертификат:
$ openssl x509 -req -days 30 -in www.vashdomen.com.csr \
-signkey www.vashdomen.com.key -out www.vashdomen.com.crt
Эта комманад сгенерирует временный сертификат для Вашего
сайта и запишет его в файл www.vashdomen.com.crt
Который может быть использован как временный сертификат,
пока Вы не купите сертификат от корневого провайдера (Thawte etc).
Теперь у Вас есть RSA частный ключ(Private Key)
который находится в файле www.vashdomen.com.key
и сертификат в файле www.vashdomen.com.csr.
Файл www.vashdomen.com.key - это Ваш секретный ключ,
и должен быть установлен в соответствии с инструкцией для mod_ssl.
Файл www.vashdomen.com.csr - это Ваш CSR, и он выглядет примерно так:
-----BEGIN CERTIFICATE REQUEST-----
MIIBPTCB6AIBADCBhDELMAkGA1UEBhMCWkExFTATBgNVBAgTDFdlc3Rlcm4gQ2Fw
ZTESMBAGA1UEBxMJQ2FwZSBUb3duMRQwEgYDVQQKEwtPcHBvcnR1bml0aTEYMBYG
A1UECxMPT25saW5lIFNlcnZpY2VzMRowGAYDVQQDExF3d3cuZm9yd2FyZC5jby56
YTBaMA0GCSqGSIb3DQEBAQUAA0kAMEYCQQDT5oxxeBWu5WLHD/G4BJ+PobiC9d7S
6pDvAjuyC+dPAnL0d91tXdm2j190D1kgDoSp5ZyGSgwJh2V7diuuPlHDAgEDoAAw
DQYJKoZIhvcNAQEEBQADQQBf8ZHIu4H8ik2vZQngXh8v+iGnAXD1AvUjuDPCWzFu
pReiq7UR8Z0wiJBeaqiuvTDnTFMz6oCq6htdH7/tvKhhsdafasdg;lasdgpw4tER
-----END CERTIFICATE REQUEST-----
содержание этого файла CSR (www.vashdomen.com.csr) -
это то что вы должны предоставить в форму,
на сайте, где Вы будете покупать сертификат.
Следующие заметки по алгоритму создания сертификатов, Вы можете сделать.
1. Генерация CSR
2. Генерация CSR для Apache modSSL
Вопросы и ответы:
Вопрос: Поддерживает ли Ваш сервер SSL , и смогу ли я использовать купленный мною сертификат при заказе виртуального хостинга и сколько это стоит?
Ответ: Да, Вы можете использовать SSL на любом тарифном плане виртуального хостинга. Все что Вам потребуется, это связаться с нами и сообщить нам о имени домена который будет поддерживаться через SSL. Дополнительная стоимость включает в себя только оплату за отдельный IP адрес, так как для работы каждого https://www.vashdomen.com требуется отдельный IP адрес.
Вопрос: Что, какие действия потребуются от меня для установки SSL сертификата?
Ответ: Вам потребуется только купить сертификат у стороннего провайдера или Вы можете поручить это сделать нам.
Поручение о генерации ключа для Вашего сертификата, мы выполняем без какой либо дополнительной платы.
- Для этого пожалуйста предоставьте нам все данные, о которых мы упомянули при генерации RSA ключа.
- Далее мы вышлем Вам сгенерированный ключ, который Вы введете в форму на стороне продавца серфтификата и после покупки самого сертификата, Вы высылаете нам копию приобретенного файла сертификата, которую мы установим на сервер самостоятельно.
- Далее Вы сможете использовать Ваш https:// сервер без дальнейших указаний на тот срок , который был обозначен при покупке сертификата.
|
