pingvin2.jpg

SSL tanúsítvány ingyen

Írta: Torig on . Beküldve: Linuxos dolgok

Érvényes és ingyenes SSL tanúsítvány Ubuntu 12.04 Web szerveren

Ha készítettél egy web szervert és nincs rá érvényes tanúsítványod, akkor ha https-en keresztül nyitod meg az oldaladat, akkor a böngésző figyelmeztetni fog, hogy nem biztonságos oldalt nézel meg. Ha nem akarsz tanúsítványt vásárolni, de szeretnél érvényes tanúsítványt használni, akkor ez a leírás pont neked szól.

A web szerver telepítése után általában egy önaláírt tanúsítványt használsz. Sajnos ez nem elég ahhoz, hogy ne riogassa a böngésző a látogatóidat. Létezik egy oldal, ahol regisztráció után magáncélra ingyenesen készíthetsz egy darab domainre és a hozzá tartozó 1 aldomainre érvényes tanúsítványt.

https://www.startssl.com/

A tanúsítvány készítés lépései

A tanúsítvány készítéséhez a következő műveleteket lehetőleg root-ként hajtsd végre.

Hívj meg egy root konzolt!

sudo su

Első lépésben el kell készítened a kulcs fájlodat 4096 bittes titkosítással. Domainnévnek add meg a saját domain nevedet. A parancs futásakor jelszót fog kérni. Adj meg bármit amit akarsz, mert később ezt a jelszót törölni fogjuk. Azért kell törölni, mert különben rendszerindításkor az Apache jelszót kér a tanúsítvány betöltéséhez, és amíg meg nem adod, ott fog állni a gép ítéletnapig.

openssl genrsa -des3 -out domainnév.key.pass 4096

A jelszót az alábbi parancs segítségével távolítsd el. Ezért nem kell bonyolult hosszú jelszót megadni, mert itt ki kell szedni.

openssl rsa -in domainnév.key.pass -out domainnév.key

Készítsd el a CSR fájlt, amit elküldhetsz egy hivatalos tanúsítványkibocsájtó cégnek is.

openssl req -new -key domainnév.key -out domainnév.csr

 Ha mindezzel megvagy, akkor a kulcsodat tanúsítani kell a  startssl.org oldalon.

 

Startssl.org műveletek

Regisztrálj a startssl.org oldalon. Az oldal a felhasználói azonosításhoz is  kulcsokat használ. Egy email címre elküldik az email cím ellenőrzésére szolgáló kódot. Nekem a Email szerverem szürke listára tette a levelüket, ezért némi késéssel érkezett meg a levelük. Az oldal használatához gyakorlatilag egy tanúsítványt kapsz. Ez az ami téged az oldalukon azonosítani fog.

A regisztrációt a Sign-up ikonnál kezdeményezheted. Ha túl vagy a regisztráción, akkor az Authenticate alatt tudsz bejelentkezni. A tanúsítvány használat miatt ha menteni akarod a bejelentkezéshez szükséges tanúsítványt, akkor a böngésződből kell kiimportálni. Ezt itt  most nem írom le.

Bejelentkezés után érvényesíteni kell a weboldaladat a Validations Wizard használatával. Az érvényesítés során küldenek egy ellenőrző kódot tartalmazó Emailt a webmester részére. Mielőtt nekikezdesz a procedúrának, ellenőrizd a webmester email címének elérhetőségét! Az érvényesítéshez a webmesternek kiküldött ellenőrző kódot kell megadni az oldalon. Ezzel igazolod, hogy tiéd az oldal.

A tanúsítvány érvényesítését a Certificates Wizard pont alatt teheted meg. Válaszd ki a Web Server SSL/TLS Certificate pontot. A következő ponton kattints a Skip-re mert azokat az adatokat már korábban megadtad. Nyisd meg szerkesztésre a CSR fájlodat a kedvenc szövegszerkesztőddel és a tartalmát másold be az oldalon látható szövegdobozba. Válaszd ki a már érvényesített domainodat és a az oldal legenerálja a kódot amit a CRT fájlodba kell majd mentened. A CRT fájl tartalmát másold ki a szövegdobozból és a kimásolt szöveget másold át egy fájlba aminek .crt legyen a vége. A .crt fájl létrehozásához is használd kedvenc szövegszerkesztődet. A fájl neve legye mondjuk domainnév.crt . A fájlt rakd a korábban létrehozott key fájl mellé.

A szövegdoboz alatt van két link. intermediate és root. Mindkettő alatt egy-egy pem fájl van. Mentsd le mindkettőt és tedd a kulcs fájl és a crt fájl mellé.

 

Update

Találtam egy másik kulcs tanúsítót is. A Cacert.org oldalon szintén tudsz kulcsot érvényesíteni. A kulcsot a pontszámodtól függően akár két évre is megkaphatod.

 

Önaláírt tanúsítvány készítése

Ha csak tesztelni szeretnél, akkor nem szükséges a tanúsítvány érvényesíteni, hanem saját magad is aláírhatod. Az alábbi példa 365 napra aláírt tanúsítványt készít.

openssl x509 -req -days 365 -in domainnév.csr -signkey domainnév.key -out domainnév.crt

 

Fájlok a szerveren

Tulajdonképpen tökmindegy hol vannak a fájlok. Az a lényeg, hogy ahová rakod a fájlokat, azt az útvonalat és nevet add meg az Apache konfigurációban. Az javaslom, hogy a következőképpen rakd át a megfelelő mappákba.

/etc/ssl/certs/domainnév.crt
/etc/ssl/pivate/domainnév.key

Létrehoztam egy könyvtárat

mkdir /etc/ssl/CA

A két pem fájlt oda tettem.

/etc/ssl/CA/sub.class1.server.ca.pem
/etc/ssl/CA/ca.pem

 

Apache konfiguráció

Már csak az SSL kapcsolatok Apache konfigjában kell beállítani a megfelelő paramétereket ami nálam a /etc/apache2/sites-available/default-ssl fájlban van az alábbiak szerint

SSLCertificateFile /etc/ssl/certs/domainnév.crt
SSLCertificateKeyFile /etc/ssl/pivate/domainnév.key
SSLCertificateChainFile /etc/ssl/CA/sub.class1.server.ca.pem
SSLCACertificateFile /etc/ssl/CA/ca.pem

Indítsuk újra az Apache-ot.

/etc/init.d/apache2 restart

És láss csodát, máris valid szerverünk van érvényes tanúsítvánnyal. Ellenőrizheted a tanúsítvány működését, ha a weblapodat https:// előtaggal nyitod meg. A böngésződ fajtájától függően pl Chromeban a címsávban látod, hogy már nem piros áthúzott https:// van, hanem zöld és már a megnyitásnál sincsenek a biztonsági figyelmeztetések, hanem a böngésző azonnal megnyitja az oldalt. Rákattintva a címsáv elején lévő zöld lakatra meg tudod nézni a tanúsítványod adatait. A módszer egyetlen hátulütője, hogy a tanúsítványt évente meg kell újítani. Sajnos nem lehet több évre kérni a tanúsítványt. Muszáj lesz évente cserélgetni. Azt hiszem ennyi kellemetlenség azért simán belefér.