Dnes se na mě obrátil jeden kolega, že potřebuje nový certifikát pro svůj poštovní server. Pro jeho vytvoření jsem použil službu
CAcert.
1. Základním předpokladem je mít platný účet na
CAcert.
2. Asociujte si doménu serveru, proto který chcete vytvořit certifikát. Klikněte na
Domény/Přidat, vyplňte název domény. Následně vyberte emailovou adresu, na kterou se má poslat potvrzovací mail, který slouží pro kontrolu, že máte s danou doménou opravdu něco společného.
3. Jakmile dostanete potvrzovací mail, použijte v něm obsažený odkaz na dokončení asociace domény.
4. Nyní je třeba vygenerovat CSR soubor, k tomu je třeba mít někde nainstalované
openssl, postup je následující:
Nejdříve vytvořte klíč:
mother ~/tmp>>> openssl genrsa -out mail.somewhere.org.key 1024
Generating RSA private key, 1024 bit long modulus
................................................++++++
.........................++++++
e is 65537 (0x10001)
mother ~/tmp>>>
Nyní máte klíč ulořený v souboru
mail.somewhere.org.key.
V dalším kroku vytvořte samotný CSR:
mother ~/tmp>>> openssl req -new -key mail.somewhere.org.key /
-out mail.somewhere.org.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CZ
State or Province Name (full name) [Some-State]:Czech republic
Locality Name (eg, city) []:Silikonova Lhota
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ISP s.r.o.
Organizational Unit Name (eg, section) []:NOC
Common Name (eg, YOUR name) []:pop3.somewhere.org
Common Name (eq, YOUR name) []:imap.somewhere.org
Email Address []:admin@somewhere.org
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:secret
An optional company name []:
mother ~/tmp>>>
Tak, výsledný CSR máte uložen v souboru
mail.somewhere.org.csr.
5. Na CAcert klikněte na
Serverové certifikáty/Nový.
6. Do okna vložte obsah souboru
mail.somewhere.org.csr a klikněte na
Odeslat.
7. Zkontrolujte CommonName, které musí souhlasit s FQDN vašeho serveru pro který certifikát generujete a klikněte na Odeslat.
8. CAcert vygeneruje nový serverový certifikát. Pokud se k němu budete chtít v budoucnu vrátit, najdete jej po kliknutí na
Serverové certifikáty/Zobrazit.
Poznámka: Pokud má váš server více IP adres/FQDN, respektive více aliasů, a budete potřebovat přidat několik CommonName, tak před generováním CSR poeditujte
openssl.cnf takto:
mother:/etc/ssl# diff openssl.cnf.orig openssl.cnf
144,145c144,147
< commonName = Common Name (eg, YOUR name)
< commonName_max = 64
---
> 0.commonName = Common Name (eg, YOUR name)
> 0.commonName_max = 64
> 1.commonName = Common Name (eq, YOUR name)
> 1.commonName_max = 64
mother:/etc/ssl#