Uruchamiamy SSL
Posiadanie własnego certyfikatu np. dla strony www jest dla przeciętnego użytkownika zbyt drogie aby warto o tym myśleć poważnie. Co możemy zrobić, jeżeli jednak chcielibyśmy komunikować się np. z naszą witryną połączeniem szyfrowanym? Zaradzić temu może wygenerowanie władnego certyfikatu SSL - oczywiście za darmo.
Generowanie certyfikatu CA
Zaczniemy od wygenerowania certyfikatu Centrum Certyfikacji, którym będziemy w przyszłości podpisywać wszystkie wygenerowane przez nas certyfikaty. W ubuntu biblioteka openssl znajduje się w katalogu /usr/lib/ssl. W katalogu misc znajdziemy dodatkowo kilka przydatnych skryptów. Zanim jednak wygenerujemy certyfikat CA, zmodyfikujemy (mając uprawnienia root) skrypt CA.sh. Domyślnie generowany plik ważny będzie tylko rok (a to zbyt krótko nawet dla amatora). Odszukujemy w skrypcie zmienną $CADAYS (linia 49) i zmieniamy wartość z 365 na 1097. Zapisujemy plik i uruchamiamy go z parametrem -newca
./CA.pl -newca
Wpisujemy hasło klucza CA (Enter PEM pass phrase:), które w następnym kroku potwierdzamy. Następnie wpisujemy dane, które chcemy umieścić w naszym certyfikacjie:
Country Name (2 letter code) [AU]:PL
State or Province Name (full name) [Some-State]:Malopolska
Locality Name (eg, city) []:Krakow
Organization Name (eg, company) [Internet Widgits Pty Ltd]:zazak.prv.pl
Organizational Unit Name (eg, section) []:CA zazak.prv.pl
Common Name (eg, YOUR name) []:Admin zazak.prv.pl
Email Address []:zazakowny@gmail.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Teraz zostaniemy zapytani o hasło, które podaliśmy przed chwilą... i mamy już wszystko czego potrzebowaliśmy! W katalogu demoCA znajdują się najważniejsze pliki CA.
- cacert.pem - plik certyfikatu CA
- private/cakey.pem - plik klucza certyfikatu CA
- serial - plik z ostatnim numerem certyfikatu
- crl/ - w tym katalogu znajdzie się plik z ew. unieważnionymi certyfikatami
W ten oto prosty sposób uruchomiliśmy swoje własne centrum certyfikacji. Problem w tym, że nikt nie zna naszego CA, więc certyfikat podpisany przez nas będzie rozpoznawany jako potencjalnie niebezpieczny. W przypadku FF wystarczy zaakceptować certyfikat na stałe. W przypadku IE będziemy musieli postąpić inaczej.
Zaufany główny urząd certyfikacji
Umieścimy teraz certyfikat naszego CA pośród takich sław jak Verisign (niestety tylko w naszym systemie). Po pierwsze musimy wyeksportować plik cacert.pem do formatu zrozumiałego dla windows. Robimy to, będąc w katalogu /usr/lib/ssl/misc/demoCA, poleceniem
openssl pkcs12 -export -in cacert.pem -inkey private/cakey.pem -out cacert.p12 -clcerts
Utworzony plik cacert.p12 kopiujemy na komputer z windows, gdzie zostanie on zaimportowany. Po otworzeniu certyfikatu P12 uruchomiony zostanie kreator importu. W oknie dotyczącym wyboru "Magazynu certyfikatów" wybieramy opcję "Umieść wszystkie certyfikaty w następującym magazynie" i klikamy przycisk "Przeglądaj". W liście magazynów wybieramy opcję "Zaufane główne urzędy certyfikacji".
Po zainstalowaniu certyfikatu aplikacje MS (w tym IE) będą rozpoznawać certyfikaty wystawione przez nasze CA jako zaufane! :-)
W następnym "odcinku" pokażę w jaki sposób wygenerować certyfikat serwera i uruchomić połączenie SSL z serwerem www.
