[ Pobierz całość w formacie PDF ]

rozwiązanie ma na celu zapewnienie bezpiecznej komunikacji między witryną
i użytkownikiem. Chociaż dane nie muszą być wrażliwe, to witryna i tak zapewnia
bezpieczną komunikację, aby uniemożliwić innym przechwytywanie danych.
Witryna przeznaczona jest dla małego kręgu odbiorców. Jeżeli dana witryna
internetowa posiada bardzo ograniczony krąg użytkowników, można po prostu
poinformować ich o braku uwierzytelnionego certyfikatu. W takim przypadku
użytkownicy mogą przeglądać informacje dotyczące certyfikatu i sprawdzać je
na przykład poprzez telefon lub bezpośrednio.
Rozdział 6. Bezpieczeństwo systemu Linux 281
Testowanie. Nie ma sensu ponoszenia kosztów certyfikatu SSL podczas testowania
nowej witryny lub aplikacji sieciowej. Użycie samodzielnie podpisanego certyfikatu
jest wówczas wystarczające.
Tworzenie pliku CSR
W celu utworzenia w systemie Fedora Linux certyfikatu SSL uwierzytelnionego przez
firmę trzecią należy rozpocząć od pliku CSR (ang. Certificate Service Request). Aby utwo-
rzyć plik CSR, w serwerze WWW trzeba wykonać następujące czynności:
# cd /etc/httpd/conf
# make certreq
umask 77 ; \
/usr/bin/openssl genrsa -des3 1024 > /etc/httpd/conf/ssl.key/server.key
.
.
.
Na ekranie zostanie wyświetlone pytanie o hasło zabezpieczające klucz prywatny. Wymie-
nione hasło powinno posiadać co najmniej osiem znaków, nie powinno być słowem znaj-
dującym się w słowniku i nie może zawierać znaków przestankowych. Wpisywane znaki
nie będą wyświetlane na ekranie, co uniemożliwia podejrzenie go przez innego użyt-
kownika.
Enter pass phrase:
Hasło należy podać dwukrotnie w celu jego weryfikacji:
Verifying - Enter pass phrase:
Po zweryfikowaniu hasła rozpocznie się proces generowania certyfikatu.
Na tym etapie można zacząć podawać do certyfikatu pewne informacje identyfikacyjne,
które pózniej będą sprawdzane przez firmę trzecią. Przed tym należy jednak odblokować
wygenerowany wcześniej klucz prywatny. Odblokowanie polega na podaniu hasła. Następ-
nie trzeba podawać odpowiedzi na pytania wyświetlane na ekranie. Przykładowa sesja
dodawania informacji do certyfikatu została przedstawiona poniżej:
Enter pass phrase for /etc/httpd/conf/ssl.key/server.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called
a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]: US
State or Province Name (full name) [Berkshire]: Connecticut
Locality Name (eg, city) [Newbury]: Mystic
Organization Name (eg, company) [My Company Ltd]: Acme Marina, Inc.
Organizational Unit Name (eg, section) []: InfoTech
Common Name (eg, your name or your server's hostname) []: www.acmemarina.com
Email Address []: webmaster@acmemarina.com
282 Część II Linux w praktyce
W celu zakończenia procesu użytkownik zostanie zapytany, czy do certyfikatu chce dodać
dodatkowe atrybuty. O ile nie istnieje specjalny powód dostarczenia większej ilości infor-
macji, należy po prostu nacisnąć klawisz Enter, pozostawiając w ten sposób poniższe pola
niewypełnione.
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Podpisywanie pliku CSR
Po utworzeniu pliku CSR należy go wysłać do centrum autoryzacji w celu weryfikacji.
Pierwszym krokiem tego procesu jest wybór centrum autoryzacji. Każde z nich posiada
własną ofertę, ceny oraz produkty. Warto sprawdzić centra wymienione we wcześniejszej
części rozdziału i wybrać najlepsze dla własnych potrzeb. Poniżej przedstawiono obszary,
na których występują różnice pomiędzy centrami autoryzacji:
wiarygodność i stabilność,
ceny,
rozpoznanie przez przeglądarki internetowe,
gwarancje,
pomoc techniczna,
jakość certyfikatu.
Po wybraniu centrum autoryzacji użytkownik będzie musiał przejść przez pewne etapy
weryfikacji. Każde z centrów posiada opracowane własne metody weryfikacji tożsamości
oraz certyfikowania informacji. Niektóre będą wymagały wysłania faksem umowy spółki,
podczas gdy inne będą wymagały rozmowy z przedstawicielem firmy. Na pewnym etapie
tego procesu użytkownik zostanie poproszony o skopiowanie i wklejenie zawartości utwo-
rzonego pliku CSR do formularza sieciowego centrum.
# cd /etc/httpd/conf/ssl.csr
# cat server.csr
-----BEGIN CERTIFICATE REQUEST-----
MIIB6jCCAVMCAQAwgakxCzAJBgNVBAYTAlVTMRQwEgYDVQQIEwtDb25uZWN0aWN1
dDEPMA0GA1UEBxMGTXlzdGljMRowGAYDVQQKExFBY21lIE1hcmluYSwgSW5jLjER
MA8GA1UECxMISW5mb1RlY2gxGzAZBgNVBAMTEnd3dy5hY21lbWFyaW5hLmNvbTEn
MCUGCSqGSIb3DQEJARYYd2VibWFzdGVyQGFjbWVtYXJpbmEuY29tMIGfMA0GCSqG
SIb3DQEBAQUAA4GNADCBiQKBgQDcYH4pjMxKMldyXRmcoz8uBVOvwlNZHyRWw8ZG
u2eCbvgi6w4wXuHwaDuxbuDBmw//Y9DMI2MXg4wDq4xmPi35EsO1Ofw4ytZJn1yW
aU6cJVQro46OnXyaqXZOPiRCxUSnGRU+0nsqKGjf7LPpXv29S3QvMIBTYWzCkNnc
gWBwwwIDAQABoAAwDQYJKoZIhvcNAQEEBQADgYEANv6eJOaJZGzopNR5h2YkR9Wg
l8oBl3mgoPH60Sccw3pWsoW4qbOWq7on8dS/++QOCZWZI1gefgaSQMInKZ1II7Fs
YIwYBgpoPTMC4bp0ZZtURCyQWrKIDXQBXw7BlU/3A25nvkRY7vgNL9Nq+7681EJ8
W9AJ3PX4vb2+ynttcBI=
-----END CERTIFICATE REQUEST-----
W celu skopiowania i wklejenia pliku CSR do formularza sieciowego centrum można wy-
korzystać mysz.
Rozdział 6. Bezpieczeństwo systemu Linux 283
Po zakończeniu procesu weryfikacji informacji, opłaceniu centrum i udzieleniu odpowiedzi
na wszystkie pytania proces zostanie ukończony. W przeciągu 48 do 72 godzin użytkow-
nik powinien otrzymać wiadomość e-mail wraz z nowym certyfikatem SSL. Wspomniany
certyfikat będzie wyglądał podobnie do przedstawionego poniżej:
-----BEGIN CERTIFICATE-----
MIIEFjCCA3+gAwIBAgIQMI262Zd6njZgN97tJAVFODANBgkqhkiG9w0BAQQFADCB
ujEfMB0GA1UEChMWVmVyaVNpZ24gVHJ1c3QgTmV0d29yazEXMBUGA1UECxMOVmVy
aVNpZ24sIEluXy4xMzAxBgNVBAsTKlZlcmlTaWduIEludGVybmF0aW9uYWwgU2Vy
dmVyIENBIC0gZ2xhc3MgMzFJMEcG10rY2g0Dd3d3LnZlcmlzaWduLmNvbS9DUFMg
SW5jb3JwLmJ51FJlZi4gTElBQklMSVRZIExURC4oYyk5NyBWZXJpU2lnbjAeFw0w
MzAxMTUwMDAwMDBaFw0wNDAxMTUyMzU5NTlaMIGuMQswCQYDVQQGEwJVUzETMBEG
A1UECBMKV2FzaG1uZ3RvHiThErE371UEBxQLRmVkZXJhbCBXYXkxGzAZBgNVBAoU
EklETSBTZXJ2aWMlcywgSW5jLjEMMAoGA1UECxQDd3d3MTMwMQYDVQQLFCpUZXJt
cyBvZiB1c2UgYXQgd3d3LnZlcmlzawduLmNvbS9ycGEgKGMpMDAxFDASBgNVBAMU
C2lkbXNlcnYuY29tMIGfMA0GCSqGS1b3DQEBAQUAA4GNADCBiQKBgQDaHSk+uzOf
7jjDFEnqT8UBa1L3yFILXFjhj3XpMXLGWzLmkDmdJjXsa4x7AhEpr1ubuVNhJVI0
FnLDopsx4pyr4n+P8FyS4M5grbcQzy2YnkM2jyqVF/7yOW2pDl30t4eacYYaz4Qg
q9pTxhUzjEG4twvKCAFWfuhEoGu1CMV2qQ1DAQABo4IBJTCCASEwCQYDVR0TBAIw
ADBEBgNVHSAEPTA7MDkGC2CGSAGG+EUBBxcDMCOwKAYIKwYBBQUHAgEWHGh0dHBz
Oi8vd3d3LnZlcmlzaWduLmNvbS9ycGEwCwYDVRRPBAQDAgWgMCgGA1UdJQQhMB8G
CWCGSAGG+EIEM00c0wIYBQUHAwEGCCsGAQUFBwmCMDQGCCsGAQUFBwEBBCgwJjAk
BggrBgEFBQcwAYYYaHR0cDovL29jc2AudmVyaXNpZ24uY29tMEYGA1UdHwQ/MD0w
O6A5oDeGNWh0dHA6Ly9jcmwudmVyaxNpZ24uY29tL0NsYXNzM0ludGVybmF0aW9u
YWxTZXJ2ZXIuY3JsMBkGCmCGSAgG+E+f4Nfc3zYJODA5NzMwMTEyMA0GCSqGSIb3
DQEBBAUAA4GBAJ/PsVttmlDkQai5nLeudLceb1F4isXP17B68wXLkIeRu4Novu13
8lLZXnaR+acHeStR01b3rQPjgv2y1mwjkPmC1WjoeYfdxH7+Mbg/6fomnK9auWAT
WF0iFW/+a8OWRYQJLMA2VQOVhX4znjpGcVNY9AQSHm1UiESJy7vtd1iX
-----END CERTIFICATE-----
Otrzymany certyfikat należy skopiować i wkleić do pustego pliku o nazwie server.crt,
który musi znajdować się w katalogu /etc/httpd//conf/ssl.crt, a następnie ponownie uru-
chomić serwer WWW:
# service httpd restart
Zakładając, że wcześniej witryna internetowa funkcjonowała bez zarzutu, dodanie certyfi-
katu umożliwi jej przeglądanie za pomocą bezpiecznego połączenia (litera  s w ciągu
tekstowym http adresu witryny). Dlatego też, jeżeli wcześniej witryna była wyświetlana po
podaniu adresu http://www.acmemarine.com, to po dodaniu certyfikatu można ją wyświe-
tlić w bezpieczny sposób po podaniu adresu https://www.acmemarina.com.
Tworzenie samodzielnie podpisanych certyfikatów [ Pobierz całość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • szkla.opx.pl
  •