Podpora uporabnikom » Navodila in napotki » Priprava zahtevka za digitalno potrdilo za strežnik Apache

Priprava zahtevka za digitalno potrdilo za strežnik Apache

V konfiguracijski datoteki strežnika v spodaj navedenih treh vrsticah določite, kje bo par ključev in kje bodo digitalna potrdila ter kakšna imena naj imajo te datoteke:

SSLCACertificatePath /pot-do-apache/conf/ssl.crt/
SSLCertificateKeyFile /pot-do-apache/conf/ssl.key/apache.kljuc
SSLCertificateFile /pot-do-apache/conf/ssl.crt/apache.crt

Za tvorjenje para ključev po algoritmu RSA in zahtevka za digitalno potrdilo uporabljajte ukaze OpenSSL. Navodila najdete na strani http://www.openssl.org/docs/apps/openssl.html.

Pri tem določite vsaj dolžino para ključev ter imeni datotek, kamor se shranita par ključev in zahtevek za digitalno potrdilo. Zahtevek za digitalno potrdilo se tvori v obliki PKCS#10.

Primer, kjer zahtevate 2048-bitni ključ RSA:

/pot-do-openssl/openssl req -new -newkey rsa:2048 \
-keyout /pot-do-apache/conf/ssl.key/apache.kljuc -out apache_zahtevek.pem

Med postopkom bo program od vas zahteval, da vnesete geslo, s katerim zaščitite par ključev (Pass phrase). Tega boste morali vnesti vsakič, ko boste pognali strežnik, zato ga ne smete pozabiti. Naslednja stvar so podatki za DN (Distinguished Name v imeniku po standardu X.500) vašega strežnika, ki morajo biti vključeni v zahtevek za digitalno potrdilo:

C=SI
ST=Slovenija
O=Organizacija
OU=Organizacijska enota
CN=11111111 Sem obvezno vnesete referenčno številko, ki ste jo dobili od administratorja SIGEN-CA. V digitalnem potrdilu bo ta številka zamenjana z imenom strežnika, ki ste ga navedli v prijavnici za digitalno potrdilo.
Preostala polja pustimo prazna (Challenge, ...).

Datoteko apache_zahtevek.pem odprete z urejevalnikom in jo prek vložišča skopirate v pripravljeno tretje polje na strani za nameščanje potrdila.
Kliknete na gumb Pošlji in počakate na odgovor (postopek lahko traja tudi več kot minuto). Overiteljev strežnik vam vrne digitalno potrdilo v taki obliki, da ga lahko skopirate na odložišče in potem na datoteko na vašem strežniku.

 

Postopka ne smete prekinjati!

 

 

Če bomo postopek prekinili, se lahko zgodi, da bo potrdilo za poslani zahtevek že tvorjeno - vezano je na ključ, ki smo ga poslali. V tem primeru referenčna številka in avtorizacijska koda ne veljata več. Potrdilo si lahko poiščemo z iskalnikom, izberemo prikaz v PEM kodi DER oblike (displayed as PEM encoding of certificate in raw DER) in ga skopiramo na strežnik. Najslabše pa je, če postopek prekinemo in ga v celoti ponovimo: tvorimo nov ključ na datoteko z istim imenom, kot ga je imel ključ z že poslanim zahtevkom, ter tako izgubimo prvotni ključ, na katerega je vezano potrdilo, ki je bilo vmes tvorjeno. V takem primeru moramo zaprositi za novo potrdilo.

Poskrbimo za varnostno kopijo ključa (skopirajmo datoteko, ki jo v zgornjem primeru imenujemo apache.kljuc) in si zapomnimo geslo, s katerim smo ključ zaščitili.