Создание самоподписного SSL-сертификата

user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '2:043f80212a1596a7f4887889cc8cdbca' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 27.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: UPDATE cache_filter SET data = ' \nСобственно в эту заметку буду собирать инфу о сертификатах. Покупать доверенные сертификаты на все хосты как-то не судьба (особенно для обслуживания небольшого офиса на 5-10 рабочих мест), поэтому генерировать их будем сами.\nВсе сертификаты на сервере будут размещаться в одной директории, соответственно необходимо создать ее:\n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td># mkdir /etc/ssl/certs</td>\n</tr>\n</tbody>\n</table>\nВАЖНО: При создании сертификатов обращаем внимание на поле "Common Name" - сюда необходимо вписать действительное DNS-имя сервера (FQDN), иначе сертификат не будет приниматься, в связи с недоверием к этому сертификату!\n \n<hr />\n \nExim\nПочтовики, по определению, настраиваю с поддержкой SSL, соответственно необходим сертификат. В конфигурационном файле exim, например, за сертификат отвечают следующие строки:\n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td>tls_certificate = /etc/ssl/certs/mail.pem \n tls_privatekey = /etc/ssl/certs/mail.pem</td>\n</tr>\n</tbody>\n</table>\nПерейдем в каталог сертификатов:\n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td># cd /etc/ssl/certs</td>\n</tr>\n</tbody>\n</table>\nСгенерируем сертификат. В процессе нужно будет ответить на несколько вопросов. Но ведь это нас не пугает? \n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td>\n# openssl req -new -x509 -days 3653 -nodes -out /etc/ssl/certs/mail.pem -keyout /etc/ssl/certs/mail.pem\nGenerating a 1024 bit RSA private key \n ........++++++ \n .........................++++++ \n writing new private key to '/etc/ssl/certs/mail.pem' \n ----- \n You are about to be asked to enter information that will be incorporated \n into your certificate request. \n What you are about to enter is what is called a Distinguished Name or a DN. \n There are quite a few fields but you can leave some blank \n For some fields there will be a default value, \n If you enter '.', the field will be left blank. \n ----- \n Country Name (2 letter code) [AU]:UA \n State or Province Name (full name) [Some-State]:Kiev Region \n Locality Name (eg, city) []:Kiev \n Organization Name (eg, company) [Internet Widgits Pty Ltd]:Somebody Ltd. \n Organizational Unit Name (eg, section) []:IT Department \n Common Name (eg, YOUR name) []:mail.domain.com \n Email Address []:username [at] domain [dot] com\n</td>\n</tr>\n</tbody>\n</table>\n \n<hr />\n \nApache\nДовольно часто необходимо на web-сервере организовать работу через https, а для этого соответственно нужно настроить поддержку SSL для Apache.\nПерейдем в каталог сертификатов:\n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td>\n# cd /etc/ssl/certs\n</td>\n</tr>\n</tbody>\n</table>\nГенерируем сертификат (пароль вводим несложный, учитывая то, что скоро мы от него откажемся):\n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td>\n# openssl genrsa -out apache.key -rand randfile -des3 2048\n0 semi-random bytes loaded \n Generating RSA private key, 2048 bit long modulus \n ...........+++ \n ..................................................+++ \n e is 65537 (0x10001) \n Enter pass phrase for apache.key: \n Verifying - Enter pass phrase for apache.key:\n# openssl req -new -x509 -key apache.key -out apache.crt -days 3653 \n Enter pass phrase for apache.key: \n You are about to be asked to enter information that will be incorporated \n into your certificate request. \n What you are about to enter is what is called a Distinguished Name or a DN. \n There are quite a few fields but you can leave some blank \n For some fields there will be a default value, \n If you enter '.', the field will be left blank. \n ----- \n Country Name (2 letter code) [AU]:UA \n State or Province Name (full name) [Some-State]:Kiev Region \n Locality Name (eg, city) []:Kiev \n Organization Name (eg, company) [Internet Widgits Pty Ltd]:Local Network \n Organizational Unit Name (eg, section) []:IT Department \n Common Name (eg, YOUR name) []:web.domain.com \n Email Address []:username [at] domain [dot] com\n</td>\n</tr>\n</tbody>\n</table>\nДля избежания проблем в дальнейшем, значение "Common Name" необходимо "привязать" к имени домена.\nИзбавляемся от пароля в сертификате:\n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td># openssl rsa -in apache.key -out apache.key \n Enter pass phrase for apache.key: \n writing RSA key</td>\n</tr>\n</tbody>\n</table>\nОбезопасим систему:\n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td># chmod 400 apache.key</td>\n</tr>\n</tbody>\n</table>\nНа этом действия с сертификатом заканчиваются. Следующий шаг - добавить поддержку созданного сертификата в конфигурационный файл Apache. Достигается это внесением следующих строк в httpd.conf:\n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td>\nListen 443\nNameVirtualHost *:443\n \n<VirtualHost *:443> \n         ServerName domain.com \n         ServerAdmin hostmasterhostmaster [at] domain [dot] com (@domain.com)\n        DocumentRoot /usr/local/www/apache22/data\n              ErrorLog /var/log/apache/domain.com-error.log \n               TransferLog /var/log/apache/domain.com-access.log\nSSLEngine on \n SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL \n SSLCertificateFile "/etc/ssl/certs/apache.crt" \n SSLCertificateKeyFile "/etc/ssl/certs/apache.key"\n     <Directory "/usr/local/www/apache22/data"> \n                DirectoryIndex index.php \n                AllowOverride All \n                SSLRequireSSL \n                Order Deny,Allow \n                Allow from all \n       </Directory>\n</VirtualHost> \n  \n</td>\n</tr>\n</tbody>\n</table>\nПроверяем конфигурацию Apache, и если все в порядке, перезапускаем службу:\n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td># apachectl configtest \n Syntax OK \n # apachectl graceful</td>\n</tr>\n</tbody>\n</table>\nТеперь можно подключаться к серверу по протоколу HTTPS.\n \n', created = 1767377583, expire = 1767463983, headers = '', serialized = 0 WHERE cid = '2:043f80212a1596a7f4887889cc8cdbca' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 112.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '2:07243fc0252056071eaa62af8c18d662' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 27.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: UPDATE cache_filter SET data = '<a class=\"thickbox\" href=\"/files/imagepicker/1/wake_up_ua.png\"><img alt=\"Вставай, Україно!\" class=\"imgp_img\" src=\"/files/imagepicker/1/thumbs/wake_up_ua.png\" style=\"height:200px; width:150px\" /></a>\n', created = 1767377583, expire = 1767463983, headers = '', serialized = 0 WHERE cid = '2:07243fc0252056071eaa62af8c18d662' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 112.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '3:cc913d232116f0426090404133377d88' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 27.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '2:d9a86123bfcbc57878743027b584400b' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 27.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: UPDATE cache_filter SET data = '<a href=\"http://muff.kiev.ua/rss.xml\"><img alt=\"RSS\" width=\"160\" height=\"60\" src=\"http://muff.kiev.ua/files/muf-rss.png\" /></a>\n', created = 1767377583, expire = 1767463983, headers = '', serialized = 0 WHERE cid = '2:d9a86123bfcbc57878743027b584400b' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 112.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '3:39649256b636e3d5ded656bc52bd8c01' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 27.

Опубликовано muff в Пт, 2009-12-25 02:16

Собственно в эту заметку буду собирать инфу о сертификатах. Покупать доверенные сертификаты на все хосты как-то не судьба (особенно для обслуживания небольшого офиса на 5-10 рабочих мест), поэтому генерировать их будем сами.

Все сертификаты на сервере будут размещаться в одной директории, соответственно необходимо создать ее:

# mkdir /etc/ssl/certs

ВАЖНО: При создании сертификатов обращаем внимание на поле "Common Name" - сюда необходимо вписать действительное DNS-имя сервера (FQDN), иначе сертификат не будет приниматься, в связи с недоверием к этому сертификату!

Exim

Почтовики, по определению, настраиваю с поддержкой SSL, соответственно необходим сертификат. В конфигурационном файле exim, например, за сертификат отвечают следующие строки:

tls_certificate = /etc/ssl/certs/mail.pem
tls_privatekey = /etc/ssl/certs/mail.pem

Перейдем в каталог сертификатов:

# cd /etc/ssl/certs

Сгенерируем сертификат. В процессе нужно будет ответить на несколько вопросов. Но ведь это нас не пугает?

# openssl req -new -x509 -days 3653 -nodes -out /etc/ssl/certs/mail.pem -keyout /etc/ssl/certs/mail.pem

Generating a 1024 bit RSA private key
........++++++
.........................++++++
writing new private key to '/etc/ssl/certs/mail.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:UA
State or Province Name (full name) [Some-State]:Kiev Region
Locality Name (eg, city) []:Kiev
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Somebody Ltd.
Organizational Unit Name (eg, section) []:IT Department
Common Name (eg, YOUR name) []:mail.domain.com
Email Address []:username [at] domain [dot] com

Apache

Довольно часто необходимо на web-сервере организовать работу через https, а для этого соответственно нужно настроить поддержку SSL для Apache.

Перейдем в каталог сертификатов:

# cd /etc/ssl/certs

Генерируем сертификат (пароль вводим несложный, учитывая то, что скоро мы от него откажемся):

# openssl genrsa -out apache.key -rand randfile -des3 2048

0 semi-random bytes loaded
Generating RSA private key, 2048 bit long modulus
...........+++
..................................................+++
e is 65537 (0x10001)
Enter pass phrase for apache.key:
Verifying - Enter pass phrase for apache.key:

# openssl req -new -x509 -key apache.key -out apache.crt -days 3653
Enter pass phrase for apache.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:UA
State or Province Name (full name) [Some-State]:Kiev Region
Locality Name (eg, city) []:Kiev
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Local Network
Organizational Unit Name (eg, section) []:IT Department
Common Name (eg, YOUR name) []:web.domain.com
Email Address []:username [at] domain [dot] com

Для избежания проблем в дальнейшем, значение "Common Name" необходимо "привязать" к имени домена.

Избавляемся от пароля в сертификате:

# openssl rsa -in apache.key -out apache.key
Enter pass phrase for apache.key:
writing RSA key

Обезопасим систему:

# chmod 400 apache.key

На этом действия с сертификатом заканчиваются. Следующий шаг - добавить поддержку созданного сертификата в конфигурационный файл Apache. Достигается это внесением следующих строк в httpd.conf:

Listen 443

NameVirtualHost *:443

<VirtualHost *:443>
ServerName domain.com
ServerAdmin hostmasterhostmaster [at] domain [dot] com (@domain.com)

DocumentRoot /usr/local/www/apache22/data

ErrorLog /var/log/apache/domain.com-error.log
TransferLog /var/log/apache/domain.com-access.log

SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile "/etc/ssl/certs/apache.crt"
SSLCertificateKeyFile "/etc/ssl/certs/apache.key"

<Directory "/usr/local/www/apache22/data">
 DirectoryIndex index.php
 AllowOverride All
 SSLRequireSSL
 Order Deny,Allow
 Allow from all
 </Directory>

</VirtualHost>

Проверяем конфигурацию Apache, и если все в порядке, перезапускаем службу:

# apachectl configtest
Syntax OK
# apachectl graceful

Теперь можно подключаться к серверу по протоколу HTTPS.