Kaip gauti sertifikatą

Kaip gauti sertifikatą

LITNET TCS sertifikato gavimo procedūrą sudaro šie žingsniai:

Sertifikato prašymo sukūrimas

Sertifikato prašymo ir raktų sukūrimui galima  Linux skirtą programos openssl kodą galite parsisiųsti iš OpenSSL puslapio, tačiau rekomenduojame naudoti paruoštus paketus, kuriuos teikia dauguma Linux distribucijų. Windows - galite naudoti Win32 OpenSSL, arba cygwin aplinką.

Paprasčiausias būdas sukurti CSR - parašyti trumpą OpenSSL konfigūracijos failą ir jį naudoti openssl req komanda.

Konfigūracijos failo pavyzdys:

[ req ]
utf8 = yes
prompt = no
encrypt_key = no
default_md = sha256
default_bits = 2048
distinguished_name = dn

# Užkomentuokite, jei nereikia alternatyvių vardų sričių.  
req_extensions = v3_req 

# CN - Pagrindinė vardo sritis, privaloma nurodyti 
# O  - Organizacijos pavadinimas 
# OU - Padalinio pavadinimas 
# C  - Dviženklis šalies kodas 
# L  - Vietovės pavadinimas 

[ dn ]
CN = ilanka.jura.lt 
# O  = Jūrų universitetas
# OU = Įlankų fakultetas
C  = LT
# L  = Klaipėda

[ v3_req ]
subjectAltName = @alt_names

[ alt_names ]
# Alternatyvių vardo sričių sąrašas. Jei alternatyvios vardų sritys 
# nereikalingos - užkomentuokite 'req_extensions = v3_req' eilutę viršuje. 
DNS.1 = www.ilanka.jura.lt
DNS.2 = mail.ilanka.jura.lt

Konfigūracijos failo pavyzdį galite parsisiųsti iš čia (ant nuorodos spauskite dešinį pelės klavišą ir pasirinkite "Save Link As..." (skirtingose naršyklėse pavadinimas gali skirtis)).

Pastaba: Organizacijos (O) ir vietovės (L) reikšmės  turi sutapti su informacija, nurodyta registruojant organizaciją Sectigo SCM portale,   todėl siūlome jų  neįtraukti į SCR  konfigūracijos failą (palikti užkomentuotas).


Jei konfigūracijos faile naudosite lietuviškas raides, įsitikinkite, kad naudojate utf8 koduotę, o ne windows-1257, iso-8859-13 ar kitą. Jei atsidarę pavyzdinį failą lietuviškas raides matote neteisingai, patikrinkite redagavimo programos nustatymus.

Kitus nustatymus palikite, kaip pateikta pavyzdyje, jų paaiškinimus rasite OpenSSL dokumentacijos puslapyje.

Raktų ir sertifikato prašymo generavimas

Raktų ir serverio prašymas generuojamas panaudojant openssl req paprogramę, skirtą darbui su sertifikatų prašymais. Pagrindiniai req raktai:
-new  - generuojamas naujas sertifikato prašymas
-config failas   -nurodoma iš kurio failo skaityti konfigūraciją
-keyout failas   -nurodoma į kurį failą bus įrašomas sugeneruotas privatus raktas
-out failas    -nurodoma į kurį failą bus įrašomas sugeneruotas sertifikato prašymas

user@server:~$ openssl req -new -config config.cfg -keyout server.key -out server.csr  
Generating a 2048 bit RSA private key ..............................................+++ ....................................+++ writing new private key to 'server.key' ----- 
user@server:~$

Įvykdyta komanda faile server.key išsaugo sugeneruotą privatų raktą, o faile server.csr išsaugo sertifikato prašymą su viešu raktu ir duomenimis iš config.cfg konfigūracijos failo.

Daugiau informacijos apie openssl req įrankį rasite OpenSSL dokumentacijos puslapyje.

Sertifikato prašymo pateikimas Sectigo portale

1)   Jei esate institucijos RAO arba DRAO

 Prisijunkite prie Sectigo SCM portalo ir  pasirinkite Certificates → SSL Certificates ir paspauskite  Add:

  • atsiradusiame lange pasirinkite  Manual creation of CSR ;
  • nukopijuokite sertifikato prašymą PEM dormatu (Viską kas yra tarp -----BEGIN CERTIFICATE REQUEST----- ir -----END CERTIFICATE REQUEST----- eilučių įskaitant jas pačias) į tuščią teksto lauką
  • jei sugeneruotas CSR yra saugomas faile paspauskite Upload CSR mygtuką ir  pasirinkite lokaliai saugomą failą.

Įkėlus sertifikato prašymą ir paspausdus mygtuką Next  gausite sertifikato užsakymo langą, kur turėsite užpildyti likusius laukus. 

Užpildžius visus laukus, paspauskite mygtuką Enroll. Patvirtinus užsakymą, iš Sectigo gausite el. pašto laišką su nuorodomis iš kur pasiimti sertifikatą.

Jei reikia, galite parsisiųsti sertifikatą tiesiai iš Sectigo SCM, tam Certificates → SSL Certificates  sertifikatų sąraše pažymėkite reikiamą sertifikatą paspauskite  Details ir atsiradusiame infomaciniame lange paspauskite Select mygtuką, esantį šalia teksto "Download The Certificate".

2) jei nesate registruotas Sectigo SCM portale

Prisijunkite prie Sectigo sertifikato užsakymo formos.  Adresą/nuorodą, turėjote gauti  iš savo institucijos RAO (reikės pateikti autorizacijos kodą arba authentifikuotis per instutucijos SSO). Sėkmingai prisijungus, gausite sertifikato užsakymo formą, kurioje reikės įklijuoti sertifikato prašymą, parinkti sertifikato tipą ir pan.

sectigo

Užpildžius formą paspauskite mygtuką ENROLL.  Informacinį laišką apie sertifikato išdavimą gausite tik tada, kai institucijos administratorius RAO patvirtins jūsų užsakymą.

Sertifikato įdiegimas

Svarbu įdiegti sertifikatų grandinę, be jos nebus galima nustatyti ryšio tarp jūsų sertifikato ir registravimo tarnybos (CA) sertifikato, kuriuo pasitiki kitos sistemos.

Apache/mod_ssl konfigūravimas

SSLCertificateFile server.crt
SSLCertificateKeyFile server.key
SSLCertificateChainFile chain.pem

čia  server.crt -išduotas sertifiktas,
server.key - privatus raktas sugeneruotas kartu su sertifikato prašymu,
chain.pem - sertifikatų grandinė.

 Sertifikato instaliavimo teisingumo patikrinimas

 Serverio sertifikato instaliavimo teisingumą galima patikrinti naudojant OpenSSL s_client posistemę:

 openssl s_client -connect ilanka.jura.lt:443 -showcerts

TCS projektą vykdo GÉANT

sectigo logo 200SECTIGO- organizacija, pasirašanti projekto dalyviams išduotus sertifikatus

KTU

KUVDUVGTUVU