Различия
Здесь показаны различия между двумя версиями данной страницы.
| Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
|
wiki:руководство_по_ubuntu_server:безопасность:certificates [2012/06/23 10:41] [Сертификаты] |
wiki:руководство_по_ubuntu_server:безопасность:certificates [2014/10/28 21:32] (текущий) [Создание запроса на подпись сертификата (CSR)] |
||
|---|---|---|---|
| Строка 16: | Строка 16: | ||
| ====Типы сертификатов==== | ====Типы сертификатов==== | ||
| - | To set up a secure server using public-key cryptography, in most cases, you send your certificate request (including your public key), proof of your company's identity, and payment to a CA. The CA verifies the certificate request and your identity, and then sends back a certificate for your secure server. Alternatively, you can create your own self-signed certificate. | + | Для установки безопасного сервера с использованием криптографии на открытых ключах в большинстве случаев вы посылаете свой запрос на сертификат (включающий ваш открытый ключ), подтверждение идентичности вашей компании и оплату центру сертификации. Центр проверяет запрос на сертификат и вашу идентичность, и затем отсылает в ответ сертификат для вашего сервера. В качестве альтернативы вы можете использовать самоподписанный сертификат. |
| - | Note, that self-signed certificates should not be used in most production environments. | + | <note>Обратите внимание, что самоподписанный сертификат не может быть использованным в большинстве производственных сред.</note> |
| - | Continuing the HTTPS example, a CA-signed certificate provides two important capabilities that a self-signed certificate does not: | + | Продолжая пример с HTTPS, сертификат, подписанный CA, предоставляет два важных свойства в отличие от самоподписанного сертификата: |
| + | -- Браузеры (обычно) автоматически распознают такой сертификат и позволяют устанавливать защищенные соединения без предупреждения пользователя. | ||
| + | -- Когда CA выпускает подписанный сертификат, он гарантирует идентичность организации, которая предоставляет интернет страницы браузеру. | ||
| - | Browsers (usually) automatically recognize the certificate and allow a secure connection to be made without prompting the user. | + | Большинство интернет браузеров и компьютеров, которые поддерживают SSL имеют список центров сертификации, чьи сертификаты они автоматически принимают. Если браузер встречает сертификат, чей заверяющий центр не попал в этот список, он запрашивает пользователя на подтверждение или запрет соединения. При этом другие приложения могут выдавать сообщения об ошибке, когда используется самоподписанный сертификат. |
| - | When a CA issues a signed certificate, it is guaranteeing the identity of the organization that is providing the web pages to the browser. | + | Процесс получения сертификата из CA довольно прост. Короткий обзор его приведен ниже: |
| - | + | -- Создайте пару из открытого и закрытого ключей. | |
| - | Most Web browsers, and computers, that support SSL have a list of CAs whose certificates they automatically accept. If a browser encounters a certificate whose authorizing CA is not in the list, the browser asks the user to either accept or decline the connection. Also, other applications may generate an error message when using a self-singed certificate. | + | -- Создайте запрос на сертификат на основе открытого ключа. Запрос на сертификат содержит информацию о вашем сервере и управляющей им компании. |
| - | + | -- Пошлите запрос на сертификат вместе с документами, подтверждающими вашу идентичность, в CA. Мы не можем сказать вам какой центр сертификации выбрать. Ваше решение может основываться на вашем прошлом опыте, опыте ваших друзей и коллег или исключительно на факторе цены. Как только вы определитесь с CA, вам надо следовать их инструкциям по тому, как получить у них сертификат. | |
| - | The process of getting a certificate from a CA is fairly easy. A quick overview is as follows: | + | -- Когда центр убедится, что вы действительно тот, за кого себя выдаете, они отправят вам цифровой сертификат. |
| - | + | -- Установите это сертификат на ваш защищенный сервер и настройте соответствующие приложения на его использование. | |
| - | Create a private and public encryption key pair. | + | |
| - | + | ||
| - | Create a certificate request based on the public key. The certificate request contains information about your server and the company hosting it. | + | |
| - | + | ||
| - | Send the certificate request, along with documents proving your identity, to a CA. We cannot tell you which certificate authority to choose. Your decision may be based on your past experiences, or on the experiences of your friends or colleagues, or purely on monetary factors. | + | |
| - | + | ||
| - | Once you have decided upon a CA, you need to follow the instructions they provide on how to obtain a certificate from them. | + | |
| - | + | ||
| - | When the CA is satisfied that you are indeed who you claim to be, they send you a digital certificate. | + | |
| - | + | ||
| - | Install this certificate on your secure server, and configure the appropriate applications to use the certificate. | + | |
| ====Создание запроса на подпись сертификата (CSR)==== | ====Создание запроса на подпись сертификата (CSR)==== | ||
| - | Whether you are getting a certificate from a CA or generating your own self-signed certificate, the first step is to generate a key. | + | Вне зависимости от того получаете ли вы сертификат от CA или создаете самоподписаный, первым шагом будет создание ключа. |
| - | If the certificate will be used by service daemons, such as Apache, Postfix, Dovecot, etc, a key without a passphrase is often appropriate. Not having a passphrase allows the services to start without manual intervention, usually the preferred way to start a daemon. | + | Если сертификат будет использоваться системными сервисами такими, как Apache, Postfix, Dovecot и т.п., уместно создать ключ без пароля. Отсутствие пароля позволяет сервису стартовать с минимальным ручным вмешательством, обычно это предпочтительный вариант запуска сервиса. |
| - | This section will cover generating a key with a passphrase, and one without. The non-passphrase key will then be used to generate a certificate that can be used with various service daemons. | + | В этой секции показано как создать ключ с кодовым словом (паролем) и без него. Беспарольный ключ затем будет использован для создания сертификата, который можно использовать для различных системных сервисов. |
| - | Running your secure service without a passphrase is convenient because you will not need to enter the passphrase every time you start your secure service. But it is insecure and a compromise of the key means a compromise of the server as well. | + | <note important>Запуск вашего защищенного сервиса без кодовой фразы удобен потому, что вам не потребуется вводить ее при каждом старте данного сервиса. Однако это небезопасно и компрометация ключа будет означать и компрометацию сервера.</note> |
| - | + | ||
| - | To generate the keys for the Certificate Signing Request (CSR) run the following command from a terminal prompt: | + | |
| - | + | ||
| - | openssl genrsa -des3 -out server.key 2048 | + | |
| + | Для генерации ключей CSR запроса, запустите следующую команду из терминала: | ||
| + | <code>openssl genrsa -des3 -out server.key 2048</code> | ||
| + | <code> | ||
| Generating RSA private key, 2048 bit long modulus | Generating RSA private key, 2048 bit long modulus | ||
| ..........................++++++ | ..........................++++++ | ||
| Строка 61: | Строка 51: | ||
| e is 65537 (0x10001) | e is 65537 (0x10001) | ||
| Enter pass phrase for server.key: | Enter pass phrase for server.key: | ||
| + | </code> | ||
| + | Теперь вы можете ввести вашу кодовую фразу. Для лучшей безопасности рекомендуется использовать не менее восьми символов. Минимальная длина при использовании **-des3** - 4 символа. Фраза должна включать цифры и/или знаки препинания и не должно быть словом из словаря. Также не забывайте, что ваша фраза будет чувствительна к регистру. | ||
| - | You can now enter your passphrase. For best security, it should at least contain eight characters. The minimum length when specifying -des3 is four characters. It should include numbers and/or punctuation and not be a word in a dictionary. Also remember that your passphrase is case-sensitive. | + | Повторите ввод для проверки. В случае корректного ввода ключ сервера будет создан и записан в файл **server.key**. |
| - | + | ||
| - | Re-type the passphrase to verify. Once you have re-typed it correctly, the server key is generated and stored in the server.key file. | + | |
| - | + | ||
| - | Now create the insecure key, the one without a passphrase, and shuffle the key names: | + | |
| + | Теперь создадим небезопасный ключ, без кодовой фразы и поменяем имена ключей: | ||
| + | <code> | ||
| openssl rsa -in server.key -out server.key.insecure | openssl rsa -in server.key -out server.key.insecure | ||
| mv server.key server.key.secure | mv server.key server.key.secure | ||
| mv server.key.insecure server.key | mv server.key.insecure server.key | ||
| + | </code> | ||
| + | Небезопасный ключ теперь называется server.key и вы можете использовать его для создания **CSR** без кодовой фразы. | ||
| - | The insecure key is now named server.key, and you can use this file to generate the CSR without passphrase. | + | Для создания **CSR** выполните следующую команду в терминале: |
| + | <code>openssl req -new -key server.key -out server.csr</code> | ||
| - | To create the CSR, run the following command at a terminal prompt: | + | У вас будет запрошена кодовая фраза (при использовании ключа с паролем - прим. пер.). Если введена корректная фраза, у вас запросят название компании, имя сайта, email и пр. Как только вы введете все эти подробности, будет создан запрос **CSR** и сохранен в файл **server.csr**. |
| - | openssl req -new -key server.key -out server.csr | + | Теперь вы можете оправить CSR файл в центр сертификации для обработки. CA использует этот файл для выпуска сертификата. С другой стороны, вы можете создать и самозаверенный сертификат, используя этот же **CSR**. |
| - | + | ||
| - | It will prompt you enter the passphrase. If you enter the correct passphrase, it will prompt you to enter Company Name, Site Name, Email Id, etc. Once you enter all these details, your CSR will be created and it will be stored in the server.csr file. | + | |
| - | + | ||
| - | You can now submit this CSR file to a CA for processing. The CA will use this CSR file and issue the certificate. On the other hand, you can create self-signed certificate using this CSR. | + | |
| ====Создание самоподписанного сертификата==== | ====Создание самоподписанного сертификата==== | ||
| - | To create the self-signed certificate, run the following command at a terminal prompt: | + | Для создания самоподписанного сертификата, запустите следующую команду в терминале: |
| + | <code>openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt</code> | ||
| - | openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt | + | Эта команда попросит вас ввести кодовую фразу. Как только вы введете корректную фразу, ваш сертификат будет создан и сохранен в файл **server.crt**. |
| - | The above command will prompt you to enter the passphrase. Once you enter the correct passphrase, your certificate will be created and it will be stored in the server.crt file. | + | <note important>Если ваш защищенный сервер будет использован в производстве, вам, возможно, потребуется сертификат, подписанный центром сертификации. В этом случае использование самоподписанных сертификатов не рекомендуется.</note> |
| - | + | ||
| - | If your secure server is to be used in a production environment, you probably need a CA-signed certificate. It is not recommended to use self-signed certificate. | + | |
| ====Установка сертификата==== | ====Установка сертификата==== | ||
| - | You can install the key file server.key and certificate file server.crt, or the certificate file issued by your CA, by running following commands at a terminal prompt: | + | Вы можете установить файлы ключа server.key и сертификата server.crt (или файл сертификата, выданный вашим CA), запуском следующих команд в терминале: |
| + | <code> | ||
| sudo cp server.crt /etc/ssl/certs | sudo cp server.crt /etc/ssl/certs | ||
| sudo cp server.key /etc/ssl/private | sudo cp server.key /etc/ssl/private | ||
| + | </code> | ||
| + | Теперь просто настройте любое приложение с возможностью использования криптографии на открытых ключах для использования этих файлов ключа и сертификата. Например, Apache может предоставить HTTPS, Dovecot предоставляет IMAPS и POP3S, и т.д. | ||
| - | Now simply configure any applications, with the ability to use public-key cryptography, to use the certificate and key files. For example, Apache can provide HTTPS, Dovecot can provide IMAPS and POP3S, etc. | + | ====Центр сертификации==== |
| - | ====Центр сертификатов==== | + | Если сервисы вашей сети требуют больше чем самозаверенные сертификаты, может быть полезным дополнительное усилие по установке вашего собственного внутреннего центра сертификации (CA). Использование сертификатов, подписанных вашим центром, позволяют различным сервисам использовать сертификаты для простого доверия другим сервисам, использующих сертификаты, выданные тем же CA. |
| - | If the services on your network require more than a few self-signed certificates it may be worth the additional effort to setup your own internal Certification Authority (CA). Using certificates signed by your own CA, allows the various services using the certificates to easily trust other services using certificates issued from the same CA. | + | 1. Сначала создайте каталоги для хранения сертификата CA и необходимых файлов: |
| + | <code> | ||
| + | sudo mkdir /etc/ssl/CA | ||
| + | sudo mkdir /etc/ssl/newcerts | ||
| + | </code> | ||
| + | 2. Центр сертификации требует несколько дополнительных файлов для своей работы; один для хранения последнего серийного номера, использованного CA, другой для записи какие сертификаты были выпущены: | ||
| + | <code> | ||
| + | sudo sh -c "echo '01' > /etc/ssl/CA/serial" | ||
| + | sudo touch /etc/ssl/CA/index.txt | ||
| + | </code> | ||
| + | 3. Третий файл - это файл настроек CA. Хотя он не строго обязателен, но очень удобен для выпуска множества сертификатов. Отредактируйте /etc/ssl/openssl.cnf, изменив секцию **[ CA_default ]**: | ||
| + | <code> | ||
| + | dir = /etc/ssl/ # Where everything is kept | ||
| + | database = $dir/CA/index.txt # database index file. | ||
| + | certificate = $dir/certs/cacert.pem # The CA certificate | ||
| + | serial = $dir/CA/serial # The current serial number | ||
| + | private_key = $dir/private/cakey.pem# The private key | ||
| + | </code> | ||
| + | 4. Далее создайте самоподписанный сертификат: | ||
| + | <code>openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650</code> | ||
| + | Вам будут заданы вопросы по деталям сертификата. | ||
| - | First, create the directories to hold the CA certificate and related files: | + | 5. Теперь установим корневой сертификат и ключ: |
| + | <code> | ||
| + | sudo mv cakey.pem /etc/ssl/private/ | ||
| + | sudo mv cacert.pem /etc/ssl/certs/ | ||
| + | </code> | ||
| + | 6. Теперь вы готовы приступить к выпуску сертификатов. Первое, что вам потребуется - запрос на сертификат (CSR). Смотрите детали в разделе [[#создание_запроса_на_подпись_сертификата_(CSR)|Создание запроса на подпись сертификата (CSR)]]. Получив CSR, введите следующую команду для создания сертификата, подписанного нашим центром: | ||
| + | <code>sudo openssl ca -in server.csr -config /etc/ssl/openssl.cnf</code> | ||
| + | После ввода пароля для ключа CA у вас запросят подтверждение на подпись сертификата и еще одно на сохранение нового сертификата. Затем вы сможете увидеть нечто с объемным выводом, относящееся к созданию сертификата. | ||
| - | sudo mkdir /etc/ssl/CA | + | 7. Теперь у вас должен появиться новый файл /etc/ssl/newcerts/01.pem, с таким же содержанием, что и в предыдущем выводе. Выделите и скопируйте все, начиная со строки **%%-----BEGIN CERTIFICATE-----%%** и до строки **%%-----END CERTIFICATE-----%%** в файл с названием по сетевому имени сервера, где он будет установлен. Например, **mail.example.com.crt** - вполне хорошее описательное имя. |
| - | sudo mkdir /etc/ssl/newcerts | + | |
| - | The CA needs a few additional files to operate, one to keep track of the last serial number used by the CA, each certificate must have a unique serial number, and another file to record which certificates have been issued: | + | Последующие сертификаты будут иметь имена 02.pem, 03.pem и т.д. |
| + | <note>Замените mail.example.com.crt на ваше собственное описательное имя.</note> | ||
| + | 8. Наконец, скопируйте новый сертификат на компьютер, для которого он выпущен, и настройте соответствующие приложения на его использование. Место по умолчанию для установки сертификатов - каталог /etc/ssl/certs. Это позволяет многим сервисам использовать один и тот же сертификат без чрезмерного усложнения прав доступа к файлу. | ||
| - | sudo sh -c "echo '01' > /etc/ssl/CA/serial" | + | Для приложений, которые могут быть настроены на использование сертификата CA, вы можете скопировать файл /etc/ssl/certs/cacert.pem в каталог /etc/ssl/certs/ на каждом сервере. |
| - | sudo touch /etc/ssl/CA/index.txt | + | |
| - | + | ||
| - | The third file is a CA configuration file. Though not strictly necessary, it is very convenient when issuing multiple certificates. Edit /etc/ssl/openssl.cnf, and in the [ CA_default ] change: | + | |
| - | + | ||
| - | dir = /etc/ssl/ # Where everything is kept | + | |
| - | database = $dir/CA/index.txt # database index file. | + | |
| - | certificate = $dir/certs/cacert.pem # The CA certificate | + | |
| - | serial = $dir/CA/serial # The current serial number | + | |
| - | private_key = $dir/private/cakey.pem# The private key | + | |
| - | + | ||
| - | Next, create the self-singed root certificate: | + | |
| - | + | ||
| - | openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650 | + | |
| - | + | ||
| - | You will then be asked to enter the details about the certificate. | + | |
| - | + | ||
| - | Now install the root certificate and key: | + | |
| - | + | ||
| - | sudo mv cakey.pem /etc/ssl/private/ | + | |
| - | sudo mv cacert.pem /etc/ssl/certs/ | + | |
| - | + | ||
| - | You are now ready to start signing certificates. The first item needed is a Certificate Signing Request (CSR), see Generating a Certificate Signing Request (CSR) for details. Once you have a CSR, enter the following to generate a certificate signed by the CA: | + | |
| - | + | ||
| - | sudo openssl ca -in server.csr -config /etc/ssl/openssl.cnf | + | |
| - | + | ||
| - | After entering the password for the CA key, you will be prompted to sign the certificate, and again to commit the new certificate. You should then see a somewhat large amount of output related to the certificate creation. | + | |
| - | + | ||
| - | There should now be a new file, /etc/ssl/newcerts/01.pem, containing the same output. Copy and paste everything beginning with the line: -----BEGIN CERTIFICATE----- and continuing through the line: ----END CERTIFICATE----- lines to a file named after the hostname of the server where the certificate will be installed. For example mail.example.com.crt, is a nice descriptive name. | + | |
| - | + | ||
| - | Subsequent certificates will be named 02.pem, 03.pem, etc. | + | |
| - | + | ||
| - | Replace mail.example.com.crt with your own descriptive name. | + | |
| - | + | ||
| - | Finally, copy the new certificate to the host that needs it, and configure the appropriate applications to use it. The default location to install certificates is /etc/ssl/certs. This enables multiple services to use the same certificate without overly complicated file permissions. | + | |
| - | + | ||
| - | For applications that can be configured to use a CA certificate, you should also copy the /etc/ssl/certs/cacert.pem file to the /etc/ssl/certs/ directory on each server. | + | |
| ====Ссылки==== | ====Ссылки==== | ||
| - | For more detailed instructions on using cryptography see the SSL Certificates HOWTO by tlpd.org | + | -- Для более детальных инструкций по использованию криптографии смотрите [[http://tldp.org/HOWTO/SSL-Certificates-HOWTO/index.html|SSL Certificates HOWTO]] на tlpd.org. |
| - | + | -- Страница Википедии [[http://en.wikipedia.org/wiki/Https|HTTPS]] содержит больше относительно HTTPS. | |
| - | The Wikipedia HTTPS page has more information regarding HTTPS. | + | -- Для дополнительной информации по OpenSSL смотрите [[http://www.openssl.org/|домашнюю страницу OpenSSL]]. |
| - | + | -- Также хорошее глубокое руководство [[http://oreilly.com/catalog/9780596002701/|Network Security with OpenSSL]] от O'Reilly. | |
| - | For more information on OpenSSL see the OpenSSL Home Page. | + | |
| - | + | ||
| - | Also, O'Reilly's Network Security with OpenSSL is a good in depth reference. | + | |
| ---- | ---- | ||
