166 lines
9.1 KiB
Markdown
166 lines
9.1 KiB
Markdown
# Создание самоподписанного сертификата для локального домена
|
||
|
||
В системе необходимо наличие пакета `openssl`
|
||
|
||
Debian - `sudo apt install openssl`
|
||
|
||
***
|
||
|
||
## Простой путь
|
||
|
||
Генерируется самоподписный wildcard сертификат для одного домена. Чтобы браузеры доверяли этому сертификату, его необходимо добавить в доверенные.
|
||
|
||
### Подготовительный этап
|
||
|
||
Создадим директорию в которой будут созданы ключ и сертификат
|
||
|
||
```bash
|
||
mkdir /home/$USER/cert && cd /home/$USER/cert
|
||
```
|
||
|
||
### Создаём ключ SSL и файлы сертификата
|
||
|
||
```bash
|
||
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /home/$USER/cert/astra.lan.key -out /home/$USER/cert/astra.lan.crt
|
||
```
|
||
|
||
`req -x509` - указывает, что мы хотим использовать управление запросами на подписание сертификатов X.509 (CSR). X.509 — это инфраструктура открытых ключей, используемая стандартами SSL и TLS для управления ключами и сертификатами;
|
||
`-nodes` - предписывает OpenSSL пропустить опцию защиты нашего сертификата кодовой фразой;
|
||
`-days 365` - эта опция устанавливает период действия сертификата. Здесь мы устанавливаем срок действия в один год. Многие современные браузеры отклоняют любые сертификаты, срок действия которых превышает один год;
|
||
`-newkey rsa:2048` - указывает, что мы хотим сгенерировать новый сертификат и новый ключ одновременно. Мы не создали требуемый ключ для подписи сертификата на предыдущем шаге, и поэтому нам нужно создать его вместе с сертификатом. Часть rsa:2048 предписывает создать ключ RSA длиной 2048 бит;
|
||
`-keyout` - эта строка указывает OpenSSL, где разместить генерируемый файл закрытого ключа;
|
||
`-out` - указывает OpenSSL, где разместить создаваемый сертификат.
|
||
|
||
Далее необходимо ответить на вопросы. Наиболее важная строка `Common Name`. Нужно ввести имя узла, которое будет использоваться для доступа к серверу. Чтобы иметь возможность использования сертификата в поддоменах, необходимо в имени указать маску поддоменов - `*.`. Например Common name для wildcard сертификата для домена astra.lan будет выглядеть так - `*.astra.lan`.
|
||
|
||
***
|
||
|
||
## Путь сложнее - для нескольких сертификатов
|
||
|
||
Если стоит задача сгенерировать несколько сертификатов для разных доменов, мы это можем сделать используя описанный выше простой путь, но, чтобы браузер не ругался на наши самоподписные сертификаты, каждый из них нужно добавить в исключения. Если таких сертификатов много, делать это долго и скучно.
|
||
|
||
Для решения такой задачи можно пойти другим путём:
|
||
|
||
- создать конревой сертификат;
|
||
- на основе корневого сертификата создать промежуточные запросы на подписание сертификатов для каждого домена;
|
||
- сегенерировать сертификаты для каждого домена, подписанные нашим корневым сертификатом;
|
||
- добавить в исключения в браузер наш корневой сертификат.
|
||
|
||
### Подготовительный этап
|
||
|
||
```bash
|
||
mkdir /home/$USER/cert && cd /home/$USER/cert
|
||
```
|
||
|
||
***
|
||
|
||
### Сформируем закрытый ключ
|
||
|
||
```bash
|
||
openssl genrsa -out rootCA.key 2048
|
||
```
|
||
|
||
`genrsa` - создать закрытый ключ RSA
|
||
`-out` - выходной файл
|
||
Получим файл: `rootCA.key`
|
||
|
||
### Создаем корневой сертификат с использованием сгенерированого ключа
|
||
|
||
```bash
|
||
openssl req -new -x509 -days 365 -key rootCA.key -subj "/C=RU/ST=Moscow/O=Syssoft/CN=Syssoft Root Authority" -out rootCA.crt
|
||
```
|
||
|
||
`-x509` – экземпляр сертификата;
|
||
`-new` – новый запрос сертификата;
|
||
`-key rootCA.key` – файл ключа;
|
||
`-subj` – передаваемые параметры, чтобы не запрашивать их интерактивно;
|
||
`-days 365` – период действия сертификата (в днях);
|
||
`-out rootCA.crt` – имя сгенерированного сертификата.
|
||
|
||
### Проверить содержание сгенерированного сертификата
|
||
|
||
```bash
|
||
openssl x509 -text -noout -in rootCA.crt
|
||
```
|
||
|
||
```bash
|
||
Certificate:
|
||
Data:
|
||
Version: 3 (0x2)
|
||
Serial Number:
|
||
6b:f5:ec:27:d9:85:4a:72:22:2d:72:c4:9d:1a:e1:3d:d1:1d:4b:10
|
||
Signature Algorithm: sha256WithRSAEncryption
|
||
Issuer: C = RU, ST = Moscow, O = Syssoft, CN = Private Astra Root Authority
|
||
Validity
|
||
Not Before: Oct 16 10:29:33 2023 GMT
|
||
Not After : Jul 3 10:29:33 2043 GMT
|
||
Subject: C = RU, ST = Moscow, O = Syssoft, CN = Private Astra Root Authority
|
||
Subject Public Key Info:
|
||
Public Key Algorithm: rsaEncryption
|
||
RSA Public-Key: (2048 bit)
|
||
Modulus:
|
||
```
|
||
|
||
### Убедиться в том, что был создан именно центр сертификации
|
||
|
||
```bash
|
||
openssl x509 -text -noout -in rootCA.pem | grep CA
|
||
```
|
||
|
||
```bash
|
||
CA:TRUE
|
||
```
|
||
|
||
Для использования созданного сертификата в качестве локального центра сертификации необходимо импортировать его на все доступные устройства. Корневой сертификат можно добавить в хранилище ключей/сертификатов ОС либо загрузить напрямую в браузер.
|
||
|
||
### Генерация сертификата для домена
|
||
|
||
#### Создание закрытого ключа для домена и запрос на сертификат (CSR)
|
||
|
||
```bash
|
||
openssl req -newkey rsa:2048 -nodes -keyout syssoft.su.key -subj "/C=RU/ST=Moscow/O=Syssoft DEMO Stand/CN=*.syssoft.su" -out syssoft.su.csr
|
||
```
|
||
|
||
#### Выпускаем сертификат
|
||
|
||
```bash
|
||
openssl x509 -req -extfile <(printf "subjectAltName=DNS:*.syssoft.su") -days 365 -in syssoft.su.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out syssoft.su.crt
|
||
```
|
||
|
||
В параметре `-extfile` указано альтернативное имя для домена, если его не прописать, браузеры откажутся принимать такой сертификат;
|
||
`-in` - вводимый файл запроса;
|
||
`-CA` - файл корневого сертификата;
|
||
`-CAkey` - ключ корневого сертификата;
|
||
`-out` - выходной crt-файл;
|
||
`-days` - количество дней действия;
|
||
|
||
Посмотреть информацию о созданном сертификате
|
||
|
||
```bash
|
||
openssl x509 -in syssoft.su.crt -text -noout
|
||
```
|
||
|
||
#### Заключительный этап
|
||
|
||
В итоге получится такой набор файлов:
|
||
|
||
```bash
|
||
sysadmin@doc:~/cert$ ls -l
|
||
итого 24
|
||
-rw-r--r-- 1 sysadmin sysadmin 1151 окт 16 14:27 syssoft.su.crt
|
||
-rw------- 1 sysadmin sysadmin 1675 окт 16 14:26 syssoft.su.key
|
||
-rw-r--r-- 1 sysadmin sysadmin 960 окт 16 14:27 syssoft.su-req.csr
|
||
-rw------- 1 sysadmin sysadmin 1679 окт 16 14:25 rootCA.key
|
||
-rw-r--r-- 1 sysadmin sysadmin 1294 окт 16 14:25 rootCA.crt
|
||
-rw-r--r-- 1 sysadmin sysadmin 41 окт 16 14:27 rootCA.srl
|
||
```
|
||
|
||
В конфигурации web-сервера (Apache, Nginx) необходимо указать пути
|
||
|
||
- к сертификату - `syssoft.su.crt`
|
||
- к приватному ключу - `syssoft.su.key`
|
||
|
||
В браузеры на клиенты добавить в доверенные корневой сертификат нашего удостоверяющего центра `rootCA.crt`
|
||
|
||
***
|