Настройка собственного корневого центра сертификации openssl ca

11. января 2017 Заметки 0

Настроить корневой центр сертификации (CA) для внутренего пользования, без фанатизма с безопасностью довольно просто. В идеале все это нужно держать на машине, которая включается только для генерации нового ключа. Машина не подключена к интернет, и передача данных идет через флешку.  В идеале :)

 

Подготовка:

 

Создаем нужные файлы:

 

далее заполняем конфиг. По сути интересны для правки могут быть всего несколько строк. В начале HOME — путь к папке с сертификатами, и в самом низу секция org1_dn

 

Далее генерируем корневой сертификат и ключ. Пароль должен быть надежным.

Файл ca.crt — необходимо импортировать в браузер которым пользуетесь, в доверенные издатели.

Теперь можем начать выпускать сертификаты для наших внутренних доменов.

Все готово. Чтобы быстро перенести эти два файла на веб сервер можно воспользоваться двумя командами. Первая выполняется на сервере с сертификатом, в корневой папке сертификатов, вторая — на веб сервере, куда необходимо установить сертификат. Вторая команда на вход принимает вывод первой.

 

Чтобы получить сертификат в формате pfx — выполните следующее:

 

Далее подключаем его в веб сервере, например в nginx.

После этого нужно добавить наш ca.crt в доверенные центры сертификации в браузер и систему.

В системе от рута:

В браузере — так же просто. Для примера в хроме открываем урл chrome://settings/certificates, далее «Центры сертификации» — Импорт.

 

Если все сделано правильно, после перезагрузки веб сервера мы увидим зеленый замочек на сайте для которого был выпущен сертификат! Увидеть мы должны следующее:

openssl ca

openssl ca

 

И соответственно, никакой ругани о недостоверном сертификате в консоли при работе с консольными wget или curl:

 

Вот так просто настраивается корневой центр сертификации для внутреннего пользования.

 


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.