Získání serverového certifikátu TCS COMODO pro webový server
Z HelpDesk
Získání certifikátu TCS od CA DigiCERT
Provozujete-li webový SSL server je nutné jej opatřit příslušným certifikátem. Certifikát který můžete získat dle následujícího postupu je podepsán kořenovou CA DigiCert, která je standardně předinstalovaná ve většině prohlížečů. Pro vydání správného certifikátu budete potřebovat doménové jméno serveru a všechna doménová jména aliasů, která hodláte pro danou aplikaci využívat.
- Přesvědčit se, že je instalováno OpenSSL.
- Na stránce https://tcs.cesnet.cz/requestconfig/ si vygenerujte příslušný konfigurační soubor pro OpenSSL a uložte jej do adresáře kde budete generovat žádost o certifikát pod názvem "server-req.cfg". Nevyžaduje-li to povaha serveru jinak doporučuji vybrat název organizace česky s diakritikou.
- Uložte konfigurační soubor ssl např:
cat>server-req.cfg
- Žádost o certifikát vygenerujte následujícím příkazem
openssl req -new -keyout server.key.org -out server.csr -config server-req.cfg
- Uschovat soubor server.key.org a zapamatovat si heslo (pass-phrase).
- Dále lze vytvořit nekryprovanou PEM verzi soukromého klíče RSA (pro secure aplikace není doporučeno) příkazem:
openssl rsa -in server.key.org -out server.key
- Žádost o certifikát již musí obsahovat hlavní doménové jméno, ostatní jména mohou být přidána při zpracování žádosti dále. Žádost si můžete pro kontrolu zobrazit:
openssl req -in server.csr -text
Žádost může vypadat následovně:
Certificate Request: Data: Version: 0 (0x0) Subject: C=CZ, O=Západočeská univerzita v Plzni, CN=whois.zcu.czsoftware.zcu.czCN=www.multisw.zcu.cz Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit) Modulus (2048 bit): 00:b0:a1:3b:33:7c:36:1e:a3:26:32:b4:45:d1:89: 25:91:a8:ba:38:0e:86:66:c1:3e: ...
- Nyní můžete postupovat dvěma způsoby:
1. Podat žádost přímo na Registrační autoritu
- Přihlásit se na stránce https://shib-sp.zcu.cz/meta/tcs.html vložit údaje o své osobě a CSR žádost vybrat Západočeská univerzita. Žádost o TCS serverový certifikát může vypadat např. takto:
- Nyní máte poslední možnost upravit doménová jména, která budou v certifikátu, dále je nutné nastavit název organizace v certifikátu (doporučuji česky s diakritikou), nastavte platnost certifikátu a stiskněte pokračovat.
- Jakmile stiknete pokračovat systém na vaší e-mailovou adresu pošle informaci o podaném certifikátu.
- Nyní je vhodné poslat žádost o schválení certifikátu na adresu aaa-req@service.zcu.cz. Žádost by měla obsahovat následující údaje o názvu serveru, účelu použítí a administrátorovi:
Prosím o vydání ceritifikátu pro server: software.zcu.cz Správa licencí + požadavky na licence od uživatelů indy, indy (at) civ.zcu.cz
- Jakmile bude vaše žádost schválena dostanete e-mail s odkazem, kde si můžete stáhnout certifikát serveru a certifikát všech certifikačních autorit v řetězci.
2. Zašlete CSR žádost administrátorům. Hotový certifikát vám zašlou po jeho podepsání mailem zpět.
- Nyní je třeba poslat CSR žádost (vygenerovaný soubor server.csr) o certifikát do fronty aaa-req@service.zcu.cz, do mailu, kromě žádosti připište i následující údaje:
- Název serveru
- Popis a účel
- Administrátor web. serveru, e-mail
- Používané aliasy
- Délka platnosti cert (standardně 2 roky)
- Obsah souboru server.csr včetně BEGIN a END značek
- Příklad:
Prosím o vydání ceritifikátu pro server: software.zcu.cz Správa licencí + požadavky na licence od uživatelů software.zcu.cz www.software.zcu.cz multisw.zcu.cz www.multisw.zcu.cz indy, indy (at) civ.zcu.cz platnost 3 roky -----BEGIN CERTIFICATE REQUEST----- MIIBxTCCAS4CAQAwgYQxCzAJBgNVBAYTAkNaMSMwIQYDVQQKExpVbml2ZXJzaXR5 IG9mIFdlc3QgQm9oZW1pYTEWMBQGA1UEAxMNa3Jha2VuLnpjdS5jejEbMBkGA1UE AxMSa3Jha2VuMS5jaXYuemN1LmN6MRswGQYDVQQDEZJrcmFrZW4yLmNpdi56Y3Uu Y3owgZ8wDQYJKoZIhvcNAQbBBQADgY0AMIGJAoGBANpH8fcb/OLdGJV+A/yOXL5A tP3avqLeCbId4rGIGv3tyKwk0nKaRD/Hgk4srixdIB+exq6oHvJ7+qd+4JiCp6Um 4QE7Dng1lx/+6DhKnsHoQhWCAGxGwIrDsbXgpRhyOouVN5wOZZW8lNzeib+BT9m3 e5r3ot5AjgpEIjnLJHLBAgMBAAGgADANBgkqhkiG9w0BAQUFAAOBgQAm6qAX4zeR 9h+DTeyUP0WLin4K7P0BdVeVRJLQP1/mpb6qy/YSlzi+wN4SEtcjAlKWfG8vTscb 3PkkhJiIQqWmlb8QB4mjlMDq52EQ5MhpTea+YbrM08wnaa9oiuO+nZ0FXM75zovC wZzsoM4dheOSdwg/wQ0VTMWsBkLrBF+Mqw== -----END CERTIFICATE REQUEST-----
- Po kontrole a zpracování žádosti administrátorem proběhne schvalovací proces.
- Jakmile bude vaše žádost zpracována dostanete na uvedenou e-mailovou adresu hotový certifikát, nebo odkaz odkud certifikát stáhnout.
- Pro použití certifikátu ve webovém serveru Apache uložte certifikát typu v textovém formátu (odkaz text) do souboru např. server.crt. Dále budete potřebovat soubor s certifikátem kořenové autority a všech příslušných autorit.
cd /etc/apache2/ssl/ wget -O - "https://pki.cesnet.cz/_media/certs/chain_geant_ov_rsa_ca_4.pem" >ca-chain.pem
- Většina moderních webserverů vyžaduje řetězec certifikátů certifikačních autorit jako součást souboru s certifikátem.
cat ca-chain.pem >> server.crt
- Následně do konfigurace apache v definici ssl je nutné vložit tyto volby"
SSLVerifyDepth 3 SSLCertificateFile /etc/apache2/ssl/server.crt SSLCertificateKeyFile /etc/apache2/ssl/server.key
- Pro zobrazení detailů certifikátu můžeme využít webový prohlížeč, kde klikneme na detaily použítého certifikátu dané webové stránky, případně na serveru můžeme zavolat následující příkaz:
openssl x509 -in server.crt -noout -text