Login

Kaip gauti sertifikatą

LITNET TCS sertifikato gavimo procedūrą sudaro šie žingsniai:

  • Sertifikato prašymo (CSR) sukūrimas
  • Sertifikato prašymo pateikimas DigiCERT portale
  • Sertifikato įdiegimas

Sertifikato prašymo sukūrimas

Sertifikato prašymo ir raktų sukūrimui galima naudoti DigiCert  Easy  CSR generator arba panaudoti OpenSSL įrankį. Linux skirtą programos openssl kodą galite parsisiųsti iš OpenSSL puslapio, tačiau rekomenduojame naudoti paruoštus paketus, kuriuos teikia dauguma Linux distribucijų. Windows - galite naudoti Win32 OpenSSL, arba cygwin aplinką.

Paprasčiausias būdas sukurti CSR - parašyti trumpą OpenSSL konfigūracijos failą ir jį naudoti openssl req komanda.

Konfigūracijos failo pavyzdys:

[ req ]
utf8 = yes
prompt = no
encrypt_key = no
default_md = sha256
default_bits = 2048
distinguished_name = dn

# Užkomentuokite, jei nereikia alternatyvių vardų sričių. 
req_extensions = v3_req

# CN - Pagrindinė vardo sritis, privaloma nurodyti
# O  - Organizacijos pavadinimas
# OU - Padalinio pavadinimas
# C  - Dviženklis šalies kodas
# L  - Vietovės pavadinimas

[ dn ]
CN = ilanka.jura.lt
O  = Jūrų universitetas
OU = Įlankų fakultetas
C  = LT
L  = Klaipėda

[ v3_req ]
subjectAltName = @alt_names

[ alt_names ]
# Alternatyvių vardo sričių sąrašas. Jei alternatyvios vardų sritys
# nereikalingos - užkomentuokite 'req_extensions = v3_req' eilutę viršuje.
DNS.1 = www.ilanka.jura.lt
DNS.2 = mail.ilanka.jura.lt

Konfigūracijos failo pavyzdį galite parsisiųsti iš čia (ant nuorodos spauskite dešinį pelės klavišą ir pasirinkite "Save Link As..." (skirtingose naršyklėse pavadinimas gali skirtis)).

Jei konfigūracijos faile naudosite lietuviškas raides, įsitikinkite, kad naudojate utf8 koduotę, o ne windows-1257, iso-8859-13 ar kitą. Jei atsidarę pavyzdinį failą lietuviškas raides matote neteisingai, patikrinkite redagavimo programos nustatymus.

Kitus nustatymus palikite, kaip pateikta pavyzdyje, jų paaiškinimus rasite OpenSSL dokumentacijos puslapyje.

Raktų ir sertifikato prašymo generavimas

Raktų ir serverio prašymas generuojamas panaudojant openssl req paprogramę, skirtą darbui su sertifikatų prašymais. Pagrindiniai req raktai:
-new  - generuojamas naujas sertifikato prašymas
-config failas   -nurodoma iš kurio failo skaityti konfigūraciją
-keyout failas   -nurodoma į kurį failą bus įrašomas sugeneruotas privatus raktas
-out failas    -nurodoma į kurį failą bus įrašomas sugeneruotas sertifikato prašymas

user@server:~$ openssl req -new -config config.cfg -keyout server.key -out server.csr  
Generating a 2048 bit RSA private key ..............................................+++ ....................................+++ writing new private key to 'server.key' -----
user@server:~$

Įvykdyta komanda faile server.key išsaugo sugeneruotą privatų raktą, o faile server.csr išsaugo sertifikato prašymą su viešu raktu ir duomenimis iš config.cfg konfigūracijos failo.

Daugiau informacijos apie openssl req įrankį rasite OpenSSL dokumentacijos puslapyje.

Sertifikato prašymo pateikimas DigiCert portale

Prisijunkite prie DigiCert portalo, pasirinkite ORDERS -> Request sertificate . Atsivėrusiame lange pasirinkite sertifikato tipą  ir paspauskite mygtuką Order Now. Gausite langą, į Paste your CSR: lauką įkelkite sukurtą sertifikato prašymą. Tai galite padaryti :

  1.  Click to upload your CSR - įkelti sertifikato prašymą, kuris saugomas faile. Sertifikato prašymas įprastai saugomas faile su .csr galūne (pvz. server.csr). Failo turinys turi būti sertifikato prašymas PEM formatu. Formoje pasirinkite lokaliai išsaugotą failą.
  2. Pateikti sertifikato prašymo failo turinį, t.y įkopijuoti sertifikato prašymą PEM dormatu (Viską kas yra tarp -----BEGIN CERTIFICATE REQUEST----- ir -----END CERTIFICATE REQUEST----- eilučių įskaitant jas pačias).

Įkėlus sertifikato prašymą, Common name: lauke atsiras sertifikato prašyme nurodyta pagrindinė vardo sritis, o Organization: - organizacijos pavadinimas. Užpildykite likusius laukus, parinkite sertifikato galiojimo terminą Validity period:, jei reikia Comments to Administrator:  lauke parašykite komentarus administratoriui tvirtinsiančiam jūsų sertifikato užsakymą. 

Užpildžius visus laukus, paspauskite mygtuką Submit Certificate Request. Jūsų organizacijos TSC paslaugos administratoriui bus išsiųstas el. pašto laišką apie naujo sertifikato užsakymą, kurį reikia patvirtinti. Administratoriui patvirtinus užsakymą, iš DigiCert gausite el. pašto laišką su archyvą (zip failą), kuriame bus patalpintas sertifikatos ir instrukcijos kaip jį įdiegti Apache sistemoje.

 Sertifikato įdiegimas

Svarbu įdiegti sertifikatų grandinę, be jos nebus galima nustatyti ryšio tarp jūsų sertifikato ir registravimo tarnybos (CA) sertifikato, kuriuo pasitiki kitos sistemos.

Apache/mod_ssl konfigūravimas

SSLCertificateFile server.crt
SSLCertificateKeyFile server.key
SSLCertificateChainFile chain.pem

čia  server.crt -išduotas sertifiktas,
server.key - privatus raktas sugeneruotas kartu su sertifikato prašymu,
chain.pem - sertifikatų grandinė.

IIS konfigūravimas

 Sertifikato instaliavimo teisingumo patikrinimas

 Serverio sertifikato instaliavimo teisingumą galima patikrinti naudojant OpenSSL s_client posistemę:

 openssl s_client -connect ilanka.jura.lt:443 -showcerts

Блог http://webekm.com/ и още нещо.

Full premium theme for CMS

Bookmaker bet365 The best odds.

Switch to Desktop Version