Meg@DED.info
- К содержанию
- Главная
- Вход
- Зеркала: ЖЖ, Blogger, Блог.ру, LiveInternet, Блоги@Mail.Ru, Я.ру, Mylivepage.ru, Мой круг
Задумал я тут один сайтик завернуть полностью в HTTPS, типа секурность и т.п. Пошел смотреть сколько стоят сертификаты. В общем пришла жаба в подкованых берцах и начала меня давить и задавила в итоге...
Решил я как и большинство юзать самоподписанные сертификаты. Только вот ругань браузера на то что сайт не безопасен и нажатия кучи кнопок для того чтобы все-таки сайт посетить меня немного достали и я решил стать сам себе центром сертификации.
В общем-то ничего сложного в этом нет, openssl устанавливается на любую Unix-систему (вот про не unix не знаю, но думаю тоже их есть).
Собственно приступим, в первую очередь создадим какую-нибудь диру, в которой будет наш центр сертификации раполагаться
# mkdir CA
# cd CA
Генерируем ключ, которым будем подписывать сертификаты
# openssl genrsa -des3 -out ca.key 4096
Теперь создаем корневой сертификат
# openssl req -new -x509 -nodes -sha1 -days 3650 -key ca.key -out ca.crt
Теперь можно выдать в нашем центре сертификации сертификат для нашего web-сервера
# openssl genrsa -passout pass:test -des3 -out server.key 1024
# openssl rsa -passin pass:test -in server.key -out server-nopass.key
# openssl req -new -key server.key -out server.csr
# openssl ca -batch -out server.crt -infiles server.csr
Ну и проверим сразу
# openssl verify -CAfile ca.crt server.crt
Собственно все, сертификат и ключик можно скармливать нашему Web-серверу. Конкретные действия тут зависят от используемого ПО, поэтому на них я подробно не останавливаюсь.
Ну и к чему это все? А к тому. Скачиваем ca.crt себе на компьютер, тыкаем на него крысой два раза. Видим окошко с информацией о сертификате, внизу окошка две кнопки одна из них — «Установить», устанавливаем и вуаля, Google Chrome показывает в строке адреса https:// зелеными буквами, а не красными.
Кто-то скажет что все это хрень, однако подобная схема широко применяется в локальных сетях, да и в интернете тоже нередкость, ярким примером можно назвать , работают и не парятся.
Дабы не мозолить пальцы о клавиатуру если серверов больше одного лучше написать скриптики, а уж если планируется использовать клиентские сертификаты (например, для авторизации, об этом в следующий раз), то тем более надо.
Мне писать было лениво поэтому я пошел в Google и нашел на искомое.
Связанные записи
3 комментария
-
Xelon
03|Дек|2008 1Есть еще один вариант — выпустить бесплатный сертификат от Comodo на 90 дней. Когда будет заканчиваться — можно выпустить еще раз. Выпуск занимает обычно около 3-х минут.
URL:
- Meg@DED
03|Дек|2008 2Спасибо за наводку, тоже вполне себе вариант, да и, как я понимаю, заморочек для пользователей в виде установки корневого сертификата в браузер вообще никаких нету, что есть плюс несомненно...
- SSL-сертификат для бедных. Часть 2
10|Дек|2008 3[...] сомнения предложенный Xelon'ом бесплатный сертификат от Comodo избавляет посетителей [...]
Оставить комментарий
- Meg@DED
Привет!
 | Я - Сергей. Рад приветсвовать вас в своем блоге, надеюсь каждый найдет здесь что-нибудь интересное. |
Кнопульки
Теги
Друзья
История
- Январь 2009 (1)
- Декабрь 2008 (12)
- Ноябрь 2008 (14)
- Октябрь 2008 (8)
- Сентябрь 2008 (18)
- Август 2008 (13)
- Июль 2008 (15)
- Июнь 2008 (10)
- Май 2008 (16)
- Апрель 2008 (7)
- Март 2008 (5)
- Февраль 2008 (19)
- Январь 2008 (27)
- Декабрь 2007 (26)
- Ноябрь 2007 (20)
- Октябрь 2007 (5)
- Сентябрь 2007 (11)
- Август 2007 (11)
- Июль 2007 (4)
- Июнь 2007 (2)
- Май 2007 (6)
- Апрель 2007 (2)
- Март 2007 (14)
- Февраль 2007 (20)