Získání serverového certifikátu TCS COMODO pro webový server

Získání certifikátu TCS od CA COMODO

Provozujete-li webový SSL server je nutné jej opatřit příslušným certifikátem. Certifikát který můžete získat dle následujícího postupu je podepsán kořenovou CA COMODO, která je standardně předinstalovaná ve většině prohlížečů. Pro vydání správného certifikátu budete potřebovat doménové jméno serveru a všechna doménová jména aliasů, která hodláte pro danou aplikaci využívat.

• Přesvědčit se, že je instalováno OpenSSL.
• Na stránce http://tools.cesnet-ca.cz/tcs-mkserverreq.phtml si vygenerujte příslušný konfigurační soubor pro OpenSSL a uložte jej do adresáře kde budete generovat žádost o certifikát pod názvem "server-req.cfg". Nevyžaduje-li to povaha serveru jinak doporučuji vybrat název organizace česky s diakritikou.

• Žádost o certifikát vygenerujte následujícím příkazem

 openssl req -new -keyout server.key.org -out server.csr -config server-req.cfg

• Uschovat soubor server.key a zapamatovat si heslo (pass-phrase). Podrobnosti o soukromém klíči RSA se dají zobrazit příkazem:

openssl rsa -noout -text -in server.key

• Dále lze vytvořit nekryprovanou PEM verzi soukromého klíče RSA (není doporučeno) příkazem:

openssl rsa -in server.key.org -out server.key

• Žádost o certifikát již musí obsahovat hlavní doménové jméno, ostatní jména budou přidána při zpracování žádosti dále. Žádost si můžete pro kontrolu zobrazit:

openssl req -in server.csr -text

Žádost může vypadat následovně:

 Certificate Request:
     Data:
       Version: 0 (0x0)
       Subject: C=CZ, O=Západočeská univerzita v Plzni, CN=whois.zcu.czsoftware.zcu.czCN=www.multisw.zcu.cz
       Subject Public Key Info:
           Public Key Algorithm: rsaEncryption
           RSA Public Key: (1024 bit)
               Modulus (1024 bit):
                   00:b0:a1:3b:33:7c:36:1e:a3:26:32:b4:45:d1:89:
                   25:91:a8:ba:38:0e:86:66:c1:3e: ...

• Nyní je třeba poslat CSR žádost (vygenerovaný soubor server.csr) o certifikát do fronty aaa-req@service.zcu.cz, do mailu, kromě žádosti připište i následující údaje:

Název serveru

Popis a účel

Administrátor web. serveru, e-mail

Používané aliasy

Délka platnosti cert (standardně 2 roky)

Obsah souboru server.csr včetně BEGIN a END značek

Příklad:

Prosím o vydání ceritifikátu pro server:
software.zcu.cz
Správa licencí + požadavky na licence od uživatelů
software.zcu.cz www.software.zcu.cz multisw.zcu.cz www.multisw.zcu.cz
indy, indy (at) civ.zcu.cz
platnost 2 roky

-----BEGIN CERTIFICATE REQUEST-----
MIIBxTCCAS4CAQAwgYQxCzAJBgNVBAYTAkNaMSMwIQYDVQQKExpVbml2ZXJzaXR5
IG9mIFdlc3QgQm9oZW1pYTEWMBQGA1UEAxMNa3Jha2VuLnpjdS5jejEbMBkGA1UE
AxMSa3Jha2VuMS5jaXYuemN1LmN6MRswGQYDVQQDEZJrcmFrZW4yLmNpdi56Y3Uu
Y3owgZ8wDQYJKoZIhvcNAQbBBQADgY0AMIGJAoGBANpH8fcb/OLdGJV+A/yOXL5A
tP3avqLeCbId4rGIGv3tyKwk0nKaRD/Hgk4srixdIB+exq6oHvJ7+qd+4JiCp6Um
4QE7Dng1lx/+6DhKnsHoQhWCAGxGwIrDsbXgpRhyOouVN5wOZZW8lNzeib+BT9m3
e5r3ot5AjgpEIjnLJHLBAgMBAAGgADANBgkqhkiG9w0BAQUFAAOBgQAm6qAX4zeR
9h+DTeyUP0WLin4K7P0BdVeVRJLQP1/mpb6qy/YSlzi+wN4SEtcjAlKWfG8vTscb
3PkkhJiIQqWmlb8QB4mjlMDq52EQ5MhpTea+YbrM08wnaa9oiuO+nZ0FXM75zovC
wZzsoM4dheOSdwg/wQ0VTMWsBkLrBF+Mqw==
-----END CERTIFICATE REQUEST-----

• Po kontrole a zpracování žádosti administrátorem proběhne schvalovací proces.
• Jakmile bude vaše žádost zpracována dostanete na uvedenou e-mailovou adresu

• Pro použití certifikátu ve webovém serveu Apache uložte certifikát do souboru např. server.crt. Dále budete potřebovat soubor s certifikátem kořenové autority a všech příslušných autorit.

cd /etc/apache2/ssl/
wget -O - "https://tcs.cesnet.cz/crt/?id=1253280979&f=ca&txt=1" >ca-chain.pem

• Následně do konfigurace apache v definici ssl je nutné vložit tyto volby"

     SSLVerifyDepth 3
     SSLCertificateFile /etc/apache2/ssl/server.crt
     SSLCertificateKeyFile /etc/apache2/ssl/server.key
     SSLCertificateChainFile /etc/apache2/ssl/ca-chain.pem