.:Hledání:.



SSL certifikaty - generovani - pouziti




Autor: sinker

Generovani / vytvoreni CSR

 

Vytvoreni noveho certifikatu
openssl genrsa -out domena.cz.key 2048
tento privatni klic nesmi byt nikam zasilan, a i v systemu by mel byt citelny pouze minimem uzivatelu obvykle staci uzivatel "root"

Vytvoreni pozadavku na overeni certifikatu tzv CSR
openssl req -new -key domena.cz.key -out domena.cz.csr
obsah toho souboru zasilate certifikacni agenture, a na zaklade nej je vam zaslan certifikat

Obnoveni stareho certifikatu (renew) - vytvoreni CSR
openssl x509 -x509toreq -in domena.cz.crt -out CSR.csr -signkey domena.cz.key

Pouziti certifikatu


Apache HTTPS
v nastaveni virtualhostu
<VirtualHost xyz:443>
        DocumentRoot /data/webs/default

        ServerName domena.cz
        ServerAlias www.domena.cz
        ServerAdmin root@linux

        SSLEngine on
        SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
        SSLCertificateFile /etc/ssl/domena.cz.crt # verejny certifikat
        SSLCertificateKeyFile /etc/ssl/domena.cz.key # privatni klic
        SSLCertificateChainFile /etc/ssl/ca_x.crt # certifikat certifikacni agentury (CA)

        <Files ~ "\.(cgi|shtml|phtml|php3?)$">
            SSLOptions +StdEnvVars
        </Files>

        SetEnvIf User-Agent ".*MSIE.*" \
          nokeepalive ssl-unclean-shutdown \
              downgrade-1.0 force-response-1.0


</VirtualHost>

postfix - SMTPS
v souboru /etc/postfix/main.cf
smtpd_tls_key_file = /etc/ssl/domena.cz.key # privatni klic
smtpd_tls_cert_file = /etc/ssl/domena.cz.crt # verejny certifikat
smtpd_tls_CAfile = /etc/ssl/ca_x.crt # certifikat certifikacni agentury (CA)

cyrus - IMAPS/POP3S
v souboru /etc/imapd.conf
tls_ca_file: /etc/ssl/ca_x.crt # certifikat certifikacni agentury (CA)
tls_cert_file: /etc/ssl/domena.cz.crt # verejny certifikat
tls_key_file: /etc/ssl/domena.cz.key # privatni klic