Una dintre cele mai comune forme de criptografie de astăzi este criptografia cu chei publice. Criptografia folosește cheia publică deschisă (publică) și cheia privată (secretă). Sistemul efectuează criptare folosind cheia publică. Descifrate, aceste informații pot fi folosind doar o cheie privată.
O utilizare obișnuită a criptografiei, chei publice - criptarea traficului aplicație utilizând SSL și TLS protocoale. De exemplu, configurare Apache pentru a oferi HTTPS, protocolul HTTP peste SSL. Acest lucru vă permite să aplice un protocol de criptare a traficului, care, în sine nu suportă criptare.
Certificat - aceasta este metoda utilizată pentru a distribui public informații cheie și alte despre serverul și organizația responsabilă pentru ea. Certificatele pot fi semnate digital, realizat de către o autoritate de certificare sau CA. CA - este o terță parte care certifică faptul că informațiile conținute în certificatul este corect.
Pentru a stabili un server securizat, folosind criptografia cu chei publice, în cele mai multe cazuri, trimiteți cererea dvs. de certificat (inclusiv cheia publică), dovada autorității de identitate și certificatul de plată al companiei. Centrul verifică solicitarea certificatului și identitatea, și apoi trimite un răspuns la certificatul pentru serverul. Alternativ, puteți utiliza un certificat auto-semnat.
Rețineți că un certificat auto-semnat nu poate fi folosit în cele mai multe medii de producție.
Continuând exemplul HTTPS, un certificat semnat de CA, oferă două proprietăți importante, în contrast cu certificatul auto semnat:
Browsere (de obicei) să recunoască în mod automat certificatul și să permită conexiuni sigure fără avertisment utilizatorului.
Atunci când un CA emite un certificat semnat, garantează identitatea organizației care oferă pagini web în browser.
Cele mai multe browsere de internet și calculatoare, care acceptă SSL au o listă de certificate ale căror CAs acceptă în mod automat. În cazul în care un browser întâlnește un certificat al cărui centru liniștitor nu au ajuns în această listă, ea cere utilizatorului pentru a confirma conexiunea sau ban. Cu toate acestea, alte aplicații pot genera un mesaj de eroare atunci când se utilizează un certificat auto-semnat.
Procesul de a obține un certificat de la o CA este destul de simplu. O scurtă trecere în revistă a acestuia este prezentată mai jos:
Creați o pereche de chei publice și private.
Creați o cerere de certificat pe baza cheii publice. Cererea de certificat conține informații despre serverul dumneavoastră și de a gestiona companiei.
Trimite cererea de certificat, împreună cu documente care dovedesc identitatea, la CA. Nu vă putem spune care autoritate de certificare pentru a alege. Decizia dvs. se poate baza pe experiența din trecut, experiența prietenilor și colegilor, sau pur și simplu pe factorul preț. Odată ce ați decide cu privire la CA, trebuie să le urmați instrucțiunile cu privire la modul de a primi certificatul lor.
În cazul în centru pentru a vă asigura că sunteți cu adevărat care spun că ei sunt, ei vor trimite un certificat digital.
Instalați acest certificat pe serverul dvs. securizat și să configurați aplicațiile corespunzătoare să-l folosească.
Indiferent dacă veți obține un certificat de la o CA sau de a crea samopodpisany, primul pas este de a crea o cheie.
În cazul în care certificatul care urmează să fie utilizat de către serviciile de sistem, cum ar fi Apache, Postfix, Dovecot, etc. adecvate pentru a crea o cheie fără o parolă. Nici o parolă permite serviciului să înceapă cu o intervenție manuală minimă, de obicei, de realizare preferată a lansării serviciului.
Această secțiune prezintă modul de a crea o cheie pentru cuvântul cod (parola) sau fără. cheie Passwordless va fi apoi utilizat pentru a genera un certificat care poate fi utilizat pentru o varietate de servicii de sistem.
Rularea serviciului în siguranță, fără o frază de acces este convenabil, deoarece nu trebuie să-l de fiecare dată la începutul serviciului intră. Cu toate acestea, nu este sigur și compromisul cheie înseamnă un compromis și server.
Pentru solicitarea cheie de generare CSR, executați următoarea comandă de la un terminal:
Acum puteți introduce parola de acces. nu mai puțin de opt caractere este recomandat pentru o mai bună securitate. Lungimea minimă atunci când se utilizează -des3 - 4 caractere. Fraza ar trebui să includă numere și / sau semne de punctuație, și nu ar trebui să fie un cuvânt din dicționar. De asemenea, nu uitați că fraza este sensibil la majuscule.
Rescrie-l pentru verificare. În cazul cheia corectă de server de intrare este generat și înregistrat în fișierul server.key.
Acum creați cheia nesigură fără o frază de acces, și de a schimba numele tastelor:
cheie nesecurizat este numit acum server.key, și îl puteți folosi pentru a crea un CSR fără expresie de acces.
Pentru a crea CSR, executați următoarea comandă în terminal:
Vi se va solicita o expresie de acces (folosind tasta parolă - o bandă ..). Dacă introduceți fraza corectă, vi se solicită numele companiei, numele site-ului, e-mail, și așa mai departe. După ce introduceți toate aceste detalii, vor fi create și salvate în fișierul server.csr cererea CSR.
Acum puteți rearanja fișierul CSR la un CA pentru prelucrare. CA folosește acest fișier pentru a elibera certificatul. Pe de altă parte, puteți crea un certificat auto-semnat și utilizând același CSR.
Pentru a crea un certificat auto-semnat, executați următoarea comandă în terminal:
Această comandă vă va solicita parola de acces. După ce ați introdus fraza corectă, va fi creat certificatul și salvat în fișierul server.crt.
Dacă serverul securizat vor fi utilizate în producție, poate fi necesar un certificat semnat de către o autoritate de certificare. În acest caz, nu se recomandă utilizarea certificatelor auto-semnate.
Puteți instala fișierele server.key cheie și certificat server.crt (sau fișierul certificatului emis de CA-ul), rulând următoarea comandă în terminal:
Acum, pur și simplu configura orice aplicație cu posibilitatea de a utiliza criptografia la cheie publică pentru utilizarea acestor fișiere cheie și certificat. De exemplu, Apache poate oferi HTTPS, Dovecot oferă IMAPS și POP3S etc.
În cazul în care serviciile în rețeaua dumneavoastră necesită mai mult de un certificate auto-semnate poate fi un efort suplimentar utile cu privire la înființarea propria autoritate de certificare internă (CA). Utilizarea certificatelor semnate de centrul dvs., permite diferitelor servicii care utilizează certificate pentru a avea încredere cu ușurință alte servicii care utilizează certificate emise de aceeași CA.
1. Mai întâi, creați un director pentru a stoca certificatul CA și fișierele necesare:
2. Autoritatea de certificare necesită unele fișiere suplimentare pentru funcționarea acestuia; unul pentru a stoca ultimul număr de serie utilizat CA, cealaltă pentru a înregistra care au fost emise certificate:
3. Al treilea fișier - un fișier de configurare CA. Deși nu este strict necesar, dar foarte util pentru producerea unei multitudini de certificate. Edit /etc/ssl/openssl.cnf, secțiunea schimbarea [CA_default].
4. Apoi, creați un certificat auto-semnat:
Vi se va cere pentru detalii ale certificatului.
5. Acum, instalați certificatul rădăcină și cheie:
6. Acum sunteți gata pentru a începe eliberarea certificatelor. Primul lucru pe care trebuie - o cerere de certificat (CSR). Vezi detalii în Cum de a crea o cerere de semnare a certificatului (CSR). După ce a primit CSR, introduceți următoarea comandă pentru a crea un certificat semnat de centrul nostru:
După introducerea parolei pentru cheia CA vi se solicită confirmarea certificatul de semnare și unul mai mult pe conservarea noului certificat. Apoi, va fi capabil de a vedea ceva cu un volum de ieșire, referindu-se la crearea certificatului.
Certificatele ulterioare vor fi denumite 02.pem, 03.pem etc.
Înlocuiți mail.example.com.crt pe cont propriu nume descriptiv.
8. În cele din urmă, copiați noul certificat pe calculator pentru care este eliberat, și să configurați aplicațiile corespunzătoare să-l folosească. Locația implicită pentru certificatul - directorul / etc / ssl / certs. Acest lucru permite mai multe servicii folosesc același certificat, fără prea complica drepturile de acces la dosar.
Pentru aplicații care pot fi configurate pentru a utiliza certificatul CA, puteți copia fișierul /etc/ssl/certs/cacert.pem la / etc / ssl / certs / pe fiecare server.
Pentru mai multe instrucțiuni detaliate despre utilizarea criptografiei vedea HOWTO Certificate SSL pe tlpd.org.