1. Základním předpokladem je mít platný účet na CAcert.
2. Asociujte si doménu serveru, proto který chcete vytvořit certifikát. Klikněte na Domény/Přidat, vyplňte název domény. Následně vyberte emailovou adresu, na kterou se má poslat potvrzovací mail, který slouží pro kontrolu, že máte s danou doménou opravdu něco společného.
3. Jakmile dostanete potvrzovací mail, použijte v něm obsažený odkaz na dokončení asociace domény.
4. Nyní je třeba vygenerovat CSR soubor, k tomu je třeba mít někde nainstalované openssl, postup je následující:
Nejdříve vytvořte klíč:
mother ~/tmp>>> openssl genrsa -out mail.somewhere.org.key 1024
Generating RSA private key, 1024 bit long modulus
................................................++++++
.........................++++++
e is 65537 (0x10001)
mother ~/tmp>>>
Nyní máte klíč ulořený v souboru mail.somewhere.org.key.
V dalším kroku vytvořte samotný CSR:
mother ~/tmp>>> openssl req -new -key mail.somewhere.org.key /
-out mail.somewhere.org.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CZ
State or Province Name (full name) [Some-State]:Czech republic
Locality Name (eg, city) []:Silikonova Lhota
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ISP s.r.o.
Organizational Unit Name (eg, section) []:NOC
Common Name (eg, YOUR name) []:pop3.somewhere.org
Common Name (eq, YOUR name) []:imap.somewhere.org
Email Address []:admin@somewhere.org
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:secret
An optional company name []:
mother ~/tmp>>>
Tak, výsledný CSR máte uložen v souboru mail.somewhere.org.csr.
5. Na CAcert klikněte na Serverové certifikáty/Nový.
6. Do okna vložte obsah souboru mail.somewhere.org.csr a klikněte na Odeslat.
7. Zkontrolujte CommonName, které musí souhlasit s FQDN vašeho serveru pro který certifikát generujete a klikněte na Odeslat.
8. CAcert vygeneruje nový serverový certifikát. Pokud se k němu budete chtít v budoucnu vrátit, najdete jej po kliknutí na Serverové certifikáty/Zobrazit.
Poznámka: Pokud má váš server více IP adres/FQDN, respektive více aliasů, a budete potřebovat přidat několik CommonName, tak před generováním CSR poeditujte openssl.cnf takto:
mother:/etc/ssl# diff openssl.cnf.orig openssl.cnf
144,145c144,147
< commonName = Common Name (eg, YOUR name)
< commonName_max = 64
---
> 0.commonName = Common Name (eg, YOUR name)
> 0.commonName_max = 64
> 1.commonName = Common Name (eq, YOUR name)
> 1.commonName_max = 64
mother:/etc/ssl#
0 komentářů:
Okomentovat
Předem děkuji za Váš komentář.
Prosím o Váš podpis, anonymní komentáře nemají žádnou váhu a nikdo je nebere vážně. Děkuji.