Kaip gauti sertifikatą

LITNET TCS sertifikato gavimo procedūrą sudaro šie žingsniai:

Sertifikato prašymo (CSR) sukūrimas
Sertifikato prašymo pateikimas HARICA portale
Sertifikato įdiegimas

Sertifikato prašymo sukūrimas

Sertifikato prašymo ir raktų sukūrimui galima Linux skirtą programos openssl kodą galite parsisiųsti iš OpenSSL puslapio, tačiau rekomenduojame naudoti paruoštus paketus, kuriuos teikia dauguma Linux distribucijų. Windows - galite naudoti Win32 OpenSSL, arba cygwin aplinką.

Paprasčiausias būdas sukurti CSR - parašyti trumpą OpenSSL konfigūracijos failą ir jį naudoti openssl req komanda.

Konfigūracijos failo pavyzdys:

[ req ]
utf8 = yes
prompt = no
encrypt_key = no
default_md = sha256
default_bits = 2048
distinguished_name = dn

# Užkomentuokite, jei nereikia alternatyvių vardų sričių.  
req_extensions = v3_req 

# CN - Pagrindinė vardo sritis, privaloma nurodyti 
# O  - Organizacijos pavadinimas 
# OU - Padalinio pavadinimas 
# C  - Dviženklis šalies kodas 
# L  - Vietovės pavadinimas 

[ dn ]
CN = ilanka.jura.lt 
# O  = Jūrų universitetas
# OU = Įlankų fakultetas
C  = LT
# L  = Klaipėda

[ v3_req ]
subjectAltName = @alt_names

[ alt_names ]
# Alternatyvių vardo sričių sąrašas. Jei alternatyvios vardų sritys 
# nereikalingos - užkomentuokite 'req_extensions = v3_req' eilutę viršuje. 
DNS.1 = www.ilanka.jura.lt
DNS.2 = mail.ilanka.jura.lt

Konfigūracijos failo pavyzdį galite parsisiųsti iš čia (ant nuorodos spauskite dešinį pelės klavišą ir pasirinkite "Save Link As..." (skirtingose naršyklėse pavadinimas gali skirtis)).

Pastaba: Organizacijos (O) ir vietovės (L) reikšmės turi sutapti su informacija, nurodyta registruojant organizaciją Sectigo SCM portale, todėl siūlome jų neįtraukti į SCR konfigūracijos failą (palikti užkomentuotas).

Jei konfigūracijos faile naudosite lietuviškas raides, įsitikinkite, kad naudojate utf8 koduotę, o ne windows-1257, iso-8859-13 ar kitą. Jei atsidarę pavyzdinį failą lietuviškas raides matote neteisingai, patikrinkite redagavimo programos nustatymus.

Kitus nustatymus palikite, kaip pateikta pavyzdyje, jų paaiškinimus rasite OpenSSL dokumentacijos puslapyje.

Raktų ir sertifikato prašymo generavimas

Raktų ir serverio prašymas generuojamas panaudojant openssl req paprogramę, skirtą darbui su sertifikatų prašymais. Pagrindiniai req raktai:
-new - generuojamas naujas sertifikato prašymas
-config failas -nurodoma iš kurio failo skaityti konfigūraciją
-keyout failas -nurodoma į kurį failą bus įrašomas sugeneruotas privatus raktas
-out failas -nurodoma į kurį failą bus įrašomas sugeneruotas sertifikato prašymas

user@server:~$ openssl req -new -config config.cfg -keyout server.key -out server.csr  
Generating a 2048 bit RSA private key ..............................................+++ ....................................+++ writing new private key to 'server.key' ----- 
user@server:~$

Įvykdyta komanda faile server.key išsaugo sugeneruotą privatų raktą, o faile server.csr išsaugo sertifikato prašymą su viešu raktu ir duomenimis iš config.cfg konfigūracijos failo.

Daugiau informacijos apie openssl req įrankį rasite OpenSSL dokumentacijos puslapyje.

Sertifikato prašymo pateikimas HARICA portale

Prisijunkite prie HARICA CA portalo cm.harica.gr

Kairiajame šoniniame meniu pasirinkite sertifikato tipą: Server - užsisakyti SSL, OV Multi-domain, Wildcard sertifikatus; Email - el. pašto sertifikatus (E-mail only -tik el. paštui pasirašyti ir šifruoti arba vardinius sertifikatus For enterprises or organizations (IV+OV), kuriems reikia prisijungiant per SSO, kad būtų perduodami reikalingi parametrai ir institucija turi būti validuota.

Pastaba: užsisakykite tik tuos sertifikatus kurie yra FREE.

Pasirinkus Server atsidarys naujas langas, kuriame turėsite nurodyti reikiamą informaciją, sertifikato pavadinimą, domeną, kituose žingsniuose reikės pasirinkti sertifikato tipą Domain-only (DV) arba For enterprises or organizations (OV), nurodyti ar sertifikato prašymą CSR kursite automatiškai Auto-generate CSR ar turite jau susikūrę Submit CSR manually.

Svarbu įdiegti sertifikatų grandinę, be jos nebus galima nustatyti ryšio tarp jūsų sertifikato ir registravimo tarnybos (CA) sertifikato, kuriuo pasitiki kitos sistemos.

Apache/mod_ssl konfigūravimas

SSLCertificateFile server.crt
SSLCertificateKeyFile server.key
SSLCertificateChainFile chain.pem

čia server.crt -išduotas sertifiktas,
server.key - privatus raktas sugeneruotas kartu su sertifikato prašymu,
chain.pem - sertifikatų grandinė.

Sertifikato instaliavimo teisingumo patikrinimas

Serverio sertifikato instaliavimo teisingumą galima patikrinti naudojant OpenSSL s_client posistemę:

 openssl s_client -connect ilanka.jura.lt:443 -showcerts