da2001
/
notes
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
notes/Самоподписный сертификат (s...

166 lines
9.1 KiB
Markdown
Raw Normal View History

mod
2023-10-16 14:39:11 +03:00
# Создание самоподписанного сертификата для локального домена
add ssl
2023-10-16 14:28:54 +03:00
В системе необходимо наличие пакета `openssl`
Debian - `sudo apt install openssl`
***
## Простой путь
Генерируется самоподписный wildcard сертификат для одного домена. Чтобы браузеры доверяли этому сертификату, его необходимо добавить в доверенные.
### Подготовительный этап
Создадим директорию в которой будут созданы ключ и сертификат
```bash
mkdir /home/$USER/cert && cd /home/$USER/cert
```
### Создаём ключ SSL и файлы сертификата
```bash
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /home/$USER/cert/astra.lan.key -out /home/$USER/cert/astra.lan.crt
```
mod
2023-10-16 14:32:30 +03:00
`req -x509` - указывает, что мы хотим использовать управление запросами на подписание сертификатов X.509 (CSR). X.509 — это инфраструктура открытых ключей, используемая стандартами SSL и TLS для управления ключами и сертификатами;
`-nodes` - предписывает OpenSSL пропустить опцию защиты нашего сертификата кодовой фразой;
`-days 365` - эта опция устанавливает период действия сертификата. Здесь мы устанавливаем срок действия в один год. Многие современные браузеры отклоняют любые сертификаты, срок действия которых превышает один год;
`-newkey rsa:2048` - указывает, что мы хотим сгенерировать новый сертификат и новый ключ одновременно. Мы не создали требуемый ключ для подписи сертификата на предыдущем шаге, и поэтому нам нужно создать его вместе с сертификатом. Часть rsa:2048 предписывает создать ключ RSA длиной 2048 бит;
`-keyout` - эта строка указывает OpenSSL, где разместить генерируемый файл закрытого ключа;
add ssl
2023-10-16 14:28:54 +03:00
`-out` - указывает OpenSSL, где разместить создаваемый сертификат.
mod
2023-10-16 14:36:55 +03:00
Далее необходимо ответить на вопросы. Наиболее важная строка `Common Name`. Нужно ввести имя узла, которое будет использоваться для доступа к серверу. Чтобы иметь возможность использования сертификата в поддоменах, необходимо в имени указать маску поддоменов - `*.`. Например Common name для wildcard сертификата для домена astra.lan будет выглядеть так - `*.astra.lan`.
add ssl
2023-10-16 14:28:54 +03:00
***
## Путь сложнее - для нескольких сертификатов
Если стоит задача сгенерировать несколько сертификатов для разных доменов, мы это можем сделать используя описанный выше простой путь, но, чтобы браузер не ругался на наши самоподписные сертификаты, каждый из них нужно добавить в исключения. Если таких сертификатов много, делать это долго и скучно.
Для решения такой задачи можно пойти другим путём:
- создать конревой сертификат;
- на основе корневого сертификата создать промежуточные запросы на подписание сертификатов для каждого домена;
- сегенерировать сертификаты для каждого домена, подписанные нашим корневым сертификатом;
- добавить в исключения в браузер наш корневой сертификат.
### Подготовительный этап
```bash
mkdir /home/$USER/cert && cd /home/$USER/cert
```
***
### Сформируем закрытый ключ
```bash
openssl genrsa -out rootCA.key 2048
```
mod
2023-10-16 14:32:30 +03:00
`genrsa` - создать закрытый ключ RSA
add ssl
2023-10-16 14:28:54 +03:00
`-out` - выходной файл
Получим файл: `rootCA.key`
### Создаем корневой сертификат с использованием сгенерированого ключа
```bash
mod
2023-11-01 16:29:36 +03:00
openssl req -new -x509 -days 365 -key rootCA.key -subj "/C=RU/ST=Moscow/O=Syssoft/CN=Syssoft Root Authority" -out rootCA.crt
add ssl
2023-10-16 14:28:54 +03:00
```
mod
2023-10-16 14:32:30 +03:00
`-x509` экземпляр сертификата;
`-new` новый запрос сертификата;
`-key rootCA.key` файл ключа;
mod
2023-11-01 16:29:36 +03:00
`-subj` передаваемые параметры, чтобы не запрашивать их интерактивно;
`-days 365` период действия сертификата (в днях);
`-out rootCA.crt` имя сгенерированного сертификата.
add ssl
2023-10-16 14:28:54 +03:00
### Проверить содержание сгенерированного сертификата
```bash
mod
2023-11-01 16:29:36 +03:00
openssl x509 -text -noout -in rootCA.crt
add ssl
2023-10-16 14:28:54 +03:00
```
```bash
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
6b:f5:ec:27:d9:85:4a:72:22:2d:72:c4:9d:1a:e1:3d:d1:1d:4b:10
Signature Algorithm: sha256WithRSAEncryption
Issuer: C = RU, ST = Moscow, O = Syssoft, CN = Private Astra Root Authority
Validity
Not Before: Oct 16 10:29:33 2023 GMT
Not After : Jul 3 10:29:33 2043 GMT
Subject: C = RU, ST = Moscow, O = Syssoft, CN = Private Astra Root Authority
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public-Key: (2048 bit)
Modulus:
```
### Убедиться в том, что был создан именно центр сертификации
```bash
mod
2023-11-21 11:37:56 +03:00
openssl x509 -text -noout -in rootCA.crt | grep CA
add ssl
2023-10-16 14:28:54 +03:00
```
```bash
mod
2023-10-16 14:36:55 +03:00
CA:TRUE
add ssl
2023-10-16 14:28:54 +03:00
```
Для использования созданного сертификата в качестве локального центра сертификации необходимо импортировать его на все доступные устройства. Корневой сертификат можно добавить в хранилище ключей/сертификатов ОС либо загрузить напрямую в браузер.
### Генерация сертификата для домена
mod
2023-11-01 16:29:36 +03:00
#### Создание закрытого ключа для домена и запрос на сертификат (CSR)
add ssl
2023-10-16 14:28:54 +03:00
```bash
mod
2023-11-01 16:29:36 +03:00
openssl req -newkey rsa:2048 -nodes -keyout syssoft.su.key -subj "/C=RU/ST=Moscow/O=Syssoft DEMO Stand/CN=*.syssoft.su" -out syssoft.su.csr
add ssl
2023-10-16 14:28:54 +03:00
```
#### Выпускаем сертификат
```bash
mod
2023-11-01 16:29:36 +03:00
openssl x509 -req -extfile <(printf "subjectAltName=DNS:*.syssoft.su") -days 365 -in syssoft.su.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out syssoft.su.crt
add ssl
2023-10-16 14:28:54 +03:00
```
mod
2023-11-01 16:29:36 +03:00
В параметре `-extfile` указано альтернативное имя для домена, если его не прописать, браузеры откажутся принимать такой сертификат;
mod
2023-10-16 14:32:30 +03:00
`-in` - вводимый файл запроса;
`-CA` - файл корневого сертификата;
`-CAkey` - ключ корневого сертификата;
`-out` - выходной crt-файл;
mod
2023-11-01 16:29:36 +03:00
`-days` - количество дней действия;
Посмотреть информацию о созданном сертификате
```bash
openssl x509 -in syssoft.su.crt -text -noout
```
add ssl
2023-10-16 14:28:54 +03:00
#### Заключительный этап
В итоге получится такой набор файлов:
```bash
sysadmin@doc:~/cert$ ls -l
итого 24
Обновить Самоподписный сертификат (ssl).md
2023-11-01 17:10:12 +03:00
-rw-r--r-- 1 sysadmin sysadmin 1151 окт 16 14:27 syssoft.su.crt
-rw------- 1 sysadmin sysadmin 1675 окт 16 14:26 syssoft.su.key
-rw-r--r-- 1 sysadmin sysadmin 960 окт 16 14:27 syssoft.su-req.csr
add ssl
2023-10-16 14:28:54 +03:00
-rw------- 1 sysadmin sysadmin 1679 окт 16 14:25 rootCA.key
mod
2023-11-01 16:29:36 +03:00
-rw-r--r-- 1 sysadmin sysadmin 1294 окт 16 14:25 rootCA.crt
add ssl
2023-10-16 14:28:54 +03:00
-rw-r--r-- 1 sysadmin sysadmin 41 окт 16 14:27 rootCA.srl
```
В конфигурации web-сервера (Apache, Nginx) необходимо указать пути
Обновить Самоподписный сертификат (ssl).md
2023-11-01 17:10:12 +03:00
- к сертификату - `syssoft.su.crt`
- к приватному ключу - `syssoft.su.key`
add ssl
2023-10-16 14:28:54 +03:00
mod
2023-11-01 16:29:36 +03:00
В браузеры на клиенты добавить в доверенные корневой сертификат нашего удостоверяющего центра `rootCA.crt`
add ssl
2023-10-16 14:28:54 +03:00
***