A legtöbb böngésző hibaüzenetet dob ha olyan biztonságos weboldalt nézünk, aminek saját maga által aláírt tanúsítványa van, vagy olyan tanúsítványszolgáltatót használunk amit nem ismer az adott böngésző.
A StartCom tanúsítványszolgáltatónak van ingyenes 1 domainre és +1 aldomainre vonatkozó tanúsítványa amit a böngészők is támogatnak. Az alábbiakban azt mutatom be, hogy hogyan juthatunk ilyen tanúsítványhoz és hogyan installáljuk azt CentOS rendszeren Apache webszerverhez.
A dolog három lépésből áll:
1. kulcs és csr előállítása a webszerver részére
2. tanúsítás a startssl.org-al, előtte regisztráció az oldalon: http://www.startssl.com
3. a kulcs és a tanúsítvány telepítése, Apache beállítása
1. Ezt a lépést a startssl.org weboldalán keresztül is meg tudnánk tenni, viszont nekem az jelszóval védett kulcsokat generált. Ez webszerver (és egyéb bootidőben induló szolgáltatás) esetén ez bajt is okozhat, ugyanis bootolás esetén, amikor elér az Apache indításához, kérni fogja a jelszót, anélkül nem megy tovább.
Tehát én a következőket csináltam:
Rootként bejelentkezve a webszerverünkre – aminek neve legyen mondjuk pelda.hu – kiadtam a következő parancsokat:
– 4096bites kulcs készítése (minimum 2048 bites szükséges):
openssl genrsa -des3 -out pelda.hu.key.pass 4096
Meg kell adni egy jelszót is, ne válasszunk bonyolultat mert a következő lépésben el fogjuk távolítani.
– Jelszó eltávolítása:
openssl rsa -in pelda.hu.key.pass -out pelda.hu.key
– CSR készítése:
openssl req -new -key pelda.hu.key -out pelda.hu.csr
2. Nyissuk meg a https://www.startssl.com/ linket. A honlap több nyelven tud de sajna magyarul nem, ezért én az angol verziót használtam. Ha nincs még hozzáférésünk a honlaphoz, regisztráljunk a „Sign-up” ikonra kattintva, ha ez már megtörtént akkor jelentkezzünk be („Authenticate„).
Első lépésként a érvényesíteni kell weboldalunkat a „Validations Wizard” segítségével. Ennek menetét nem írom le részletesen, a lényege hogy ebből derül ki a StartCom számára hogy miénk a weboldal. Ehhez küld egy ellenőrző kódot e-mailben a webmester részére, ezt kell megadni a startssl-nek.
Tanúsítványunk érvényesítéséhez kattintsunk felül a „Certificates Wizard„-ra majd válasszuk ki a „Web Server SSL/TLS Certificate„-et. A következő pontnál kattintsunk a „Skip„-re, mert ezzel a résszel már megvagyunk. A következő pontnál másoljuk be a pelda.hu.csr fájl tartalmát a szövegdobozba. Ezután ki kell választanunk az előzőleg már érvényesített domainünket, majd a szolgáltató legenerálja a crt fájl tartalmát. Ezt másoljuk ki a szövegdobozból majd mentsük el a pelda.hu.key fájlunk mellé például pelda.hu.crt névvel.
A szövegdoboz alatt két link található (intermediate és root feliratok), melyek két pem fájlra mutatnak. Mentsük el ezeket is (jobbklikk a linkre és „Mentés másként”) a kulcs és a crt fájl mellé.
3. A kulcsok szokásos helye CentOS rendszereken az /etc/pki/tls könyvtárban van.
– Másoljuk a pelda.hu.key-t a /etc/pki/tls/pivate könyvtárba.
– Másoljuk a pelda.hu.crt-t a /etc/pki/tls/cert könyvtárba.
– Másoljuk a két startssl.org-ról letöltött pem fájlt a /etc/pki/tls/ könyvtárba.
Ezek után állítsuk be az Apache-ot hogy megtalálja ezeket a fájlokat. Nyissuk meg a /etc/httpd/conf.d/ssl.conf fájlt.
A megfelelő sorokat a következőképp állítsuk be:
SSLCertificateFile /etc/pki/tls/cert/pelda.hu.crt SSLCertificateKeyFile /etc/pki/tls/pivate/pelda.hu.key SSLCertificateChainFile /etc/pki/tls/sub.class1.server.ca.pem SSLCACertificateFile /etc/pki/tls/ca.pem
Indítsuk újra az Apache-ot:
service httpd restart
És nézzük meg a https://pelda.hu -t, ekkor már hibaüzenet nélkül, a startssl-es tanúsítványt használva nyitja meg böngészőnk.
A bejegyézés az eredeti oldalon sajnos nem érhető el, ezért biztonsági másolatként helyeztem el itt.
A bejegyzés szerzője: csuhi