Ingyenes SSL tanúsítvány webkiszolgálóhoz

By Schneider BalázsFreeBSD, Hálózat, Informatika

A legtöbb böngészőben hibaüzenet jelenik meg, amikor olyan biztonságosnak vélt (https://) weboldalt jelenít meg, aminek saját maga által aláírt tanúsítványa van, vagy olyan tanúsítványszolgáltatót használ amit nem ismer az adott böngésző.

A StarCom tanúsítványszolgáltatónál ingyenesen lehet igényelni 1 tartományra +1 altartományra érvényes tanúsítványt, amelyet a legtöbb böngésző elfogad hitelesnek. Az alábbi leírásból megtudhatja, hogy mit kell tenni egy ilyen SSL tanúsítvány beszerzéséhez egy FreeBSD-n futó Apache webkiszolgálóhoz.

A művelet a következő lépésekből áll:

  1. Regisztrálás és ügyféltanúsítvány létrehozása
  2. Privát kulcs (key) és tanúsítvány aláírási kérelem (csr) fájlok létrehozása a webkiszolgálóhoz
  3. Tartomány érvényesítése a StartSSL oldalon
  4. Tanúsítvány generálása a StartSSL oldalon
  5. Tanúsítvány alkalmazása a webkiszolgálón
Megjegyzés: Az StartCom által ingyenesen kibocsátott SSL tanúsítványok mindig csak 1 évig érvényesek. Ezt azt jelenti, hogy minden évben az alábbi procedúrát újra végig kell csinálni. A StartCom hetekkel a lejárat előtt értesítést küld, hogy időben meg lehessen újítani az érvényességet.

Regisztrálás és ügyfél tanúsítvány létrehozása

  1. Látogasson el a https://www.startssl.com/ oldalra.
  2. Kattintson jobbra a Sign-Up hivatkozásra.
  3. Töltse ki az űrlapot, majd kattintson a Continue gombra.
  4. Fogadja el az ellenőrző kérdést az OK gombbal.
    Megjegyzés    : Ha minden rendben van, akkor az imént megadott email címre érkezni fog egy ellenőrző kód, amit meg kell adni a regisztráció befejezéséhez.
  5. Adja meg a üres mezőben a levélben érkezett ellenőrző kódot, és kattintson a Continue gombra.
  6. A következő lépésben generálni kell egy privát kulcsot. Válassza ki a 4096 (High grade) opciót és kattintson a Continue gombra.
  7. Hagyja jóvá a webhozzáférést Internet Explorer esetén, vagy a felhasználó azonosítási kérelmet Firefox esetén.
  8. A tanúsítvány telepítéséhez kattintson az Install gombra.

Ezzel a elkészült és telepítve lett a böngészőbe az Ön ügyfél tanúsítványa (client certificate). Erről a tanúsítványról készíteni kell egy biztonsági mentése.

Ügyfél tanúsítvány (client certificate) mentése

Internet Explorer esetén

  1. Kattintson az EszközökInternetbeállítások menüpontra.
  2. Az Internetbeállítások párbeszédpanelben kattintson a Tartalom panellapon a Tanúsítványok gombra.
  3. A Tanúsítványok párbeszédpanelben válassza ki a Személyes panellapot, keresse meg az ügyfél tanúsítványát és jelölje ki azt.
  4. Kattintson az Exportálás… gombra.
  5. Kattintson a Tanúsítványexportáló varázsló párbeszédpanelben a Tovább > gombra.
  6. Válassza ki az Igen, a titkos kulcs exportálását választom opciót, és kattintson a Tovább > gombra.
  7. Fogadja el a következő oldal beállításait, és kattintson a Tovább > gombra.
  8. Adjon meg egy jelszót a fájlhoz, és kattintson a Tovább > gombra.
  9. Adja meg a fájl nevét és válasszon ki egy ismert helyet a mentéshez, majd kattintson a Tovább > gombra.
  10. Kattintson a Tanúsítványexportáló varázsló párbeszédpanelben a Befejezés gombra, és fogadja a sikeres exportálásra vonatkozó üzenetet az OK gombbal.
  11. Zárja be a még megnyitott párbeszédpaneleket a megfelelő gombokra kattintva.

Firefox esetén

  1. Kattintson az Eszközök – Beállítások menüpontra.
  2. Beállítások párbeszédpanelben kattintson a Haladó – Titkosítás panellapon a Tanúsítványkezelő gombra.
  3. Tanúsítványkezelő párbeszédpanelben válassza ki a Saját tanúsítványok panellapot, keresse meg az ügyfél tanúsítványát (StartCom alatt szerepel) és jelölje ki azt.
  4. Kattintson az Mentés… gombra.
  5. Az Elmentendő fájl neve párbeszédpanelben adja meg a fájl nevét és válasszon ki egy ismert helyet a mentéshez, majd kattintson a Mentés gombra.
  6. Adjon meg egy jelszót a fájlhoz, és kattintson az OK gombra.
  7. Fogadja el a sikeres mentésre vonatkozó üzenetet az OK gombbal.
  8. Zárja be a még megnyitott párbeszédpaneleket a megfelelő gombokra kattintva.
Megjegyzés: A létrehozott fájlt mentse el egy biztonsági helyre (CD-ROM-ra ,USB eszközre vagy smart card-ra). Utána törölje a számítógépéről.

Privát kulcs (key) és tanúsítvány aláírási kérelem (csr) fájlok létrehozása a webkiszolgálóhoz

Ezeket a fájlokat a StartCom oldalán is végre lehet hajtani, de itt a kiszolgálón való generálás leírása található meg. A példában az example.com helyére a saját tartomány nevét kell megadni.

Generáljon egy 4096 bites kulcsot (legalább 2048 bit szükséges):

# openssl genrsa -des3 -out example.com.key.pass 4096

Meg kell adni egy jelszót, nem válasszon bonyolultat, mert a következő lépésben úgyis el lesz távolítva.

Jelszó eltávolítása:

# openssl rsa -in example.com.key.pass -out example.com.key

Tanúsítvány aláírási kérelem (certificate signing request)  fájl létrehozása:

# openssl req -new -key example.com.key -out example.com.csr

Válaszoljon értelemszerűen a következő kérdésekre:

Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Ezzel elkészültek a szükséges fájlok.

Tartomány érvényesítése a StartSSL oldalon

Első lépésben érvényesíteni kell a weboldalat a Validation Wizard segítségével. Ebből fog kiderülni a StartCom számára, hogy Ön a weboldal tulajdonosa. Ehhez egy levélváltásra lesz szükség.

  1. Látogasson el a https://www.startssl.com/ oldalra.
  2. Ha már végrehajtotta a regisztrálást, akkor kattintson az Authenticate hivatkozásra. Ellenkező esetben kattintson a Sign-In hivatkozásra és hajtsa végre a regisztrációt a fentiek szerint.
  3. Ha megjelenik a Windows rendszerbiztonság ablak  a tanúsítvány megerősítéséhez (Internet Explorer), akkor fogadja el az OK gombbal.
  4. Keresse meg a Validations Wizard oldalát (általában felül a harmadik panelfül).
  5. Válassza ki a Domain Name Validation típust és kattintson a Continue gombra.
  6. Adja meg a  tartománynevet (pl. http://example.com), és kattintson a Continue gombra.
  7. Válasszon email címet az ellenőrzéshez (pl. postmaster@example.com), és kattintson a Continue gombra.
    Megjegyzés: a StartCom most egy levélben elküld egy ellenőrző kódot az imént a kiválasztott email címre.
  8. Adja meg a Verification Code mezőben az ellenőrző kódot, majd kattintson a Continue gombra.
  9. Végül kattintson Finish gombra.

Sikeres végrehajtás után 30 napja van arra, hogy tanúsítvány készítsen az érvényesített tartományhoz.

Tanúsítvány generálása a StartSSL oldalon

Következő lépésben tanúsítványt kell generálni a Certificates Wizard segítségével.

  1. Látogasson el a https://www.startssl.com/ oldalra.
  2. Ha már végrehajtotta a regisztrálást, akkor kattintson az Authenticate hivatkozásra. Ellenkező esetben kattintson a Sign-In hivatkozásra és hajtsa végre a regisztrációt a fentiek szerint.
  3. Ha megjelenik a Windows rendszerbiztonság ablak  a tanúsítvány megerősítéséhez (Internet Explorer), akkor fogadja el az OK gombbal.
  4. Keresse meg a Certificates Wizard oldalát (általában felül a harmadik panelfül).
  5. Válassza ki a Web Server SSL/TLS Certificate opciót a Certificate Target mezőben, majd kattintson a Continue gombra.
  6. A Generate Private Key oldalon kattintson a Skip gombra, mivel ezt már korábban megtette.
  7. Másolja be a tanúsítvány aláírási kérelem fájl (example.com.csr) tartalmát a beviteli mezőbe, és kattintson a Continue gombra.
  8. Kattintson a Certificate Request Received oldalon a Continue gombra.
  9. Az Add domains oldalon válassza ki a tartományt (example.com) a tanúsítványhoz, és kattintson a Continue gombra.
  10. A következő oldalon meg kell adnia egy altartományt az alaptartományhoz (pl. www.example.com). Végül kattintson a Continue gombra.
  11. A Ready Processing Certificate oldal tájékoztatja, hogy minden szükséges információt összegyűjtött a tanúsítvány elkészítéséhez. Kattintson a Continue gombra.
  12. A Save Certificate oldalon megjelenik egy szövegdobozban a tanúsítvány. Másolja ki a tartalmát és mentse el egy example.com.crt nevű fájlba.
  13. A szövegdoboz alatt található két hivatkozás, melyek segítségével lementhető az intermediate (sub.class1.server.ca.cer) és a root CA (ca.cer) tanúsítvány is. Kattintson mindkettőre a jobb egérgombbal (Cél mentése másként…) és mentse le őket egy ismert helyre.
  14. Végezetül kattintson a Finish gombra.

Ezzel befejeződött a tanúsítvány generálása.

Tanúsítvány alkalmazása a webkiszolgálón

A FreeBSD rendszeren a SSL kulcs rendszerint az /etc/ssl/apache könyvtárban található. Ezért az összes szükséges fájlt ebbe a mappába kell helyezni.

Másolja át az /etc/ssl/apache könyvtárba a következő fájlokat: example.com.keyexample.com.crt, sub.class1.server.ca.cer, ca.cer.

Tegye biztonságossá a SSL tanúsítvány fájljait:

# chmod 400 /etc/ssl/apache/*

Ezután keresse meg az Apache konfigurációs fájlját (/usr/local/etc/apache22/extra/httpd-ssl.conf), és állítsa be a következő paramétereket:

#   Server Certificate:
#   Point SSLCertificateFile at a PEM encoded certificate.  If
#   the certificate is encrypted, then you will be prompted for a
#   pass phrase.  Note that a kill -HUP will prompt again.  Keep
#   in mind that if you have both an RSA and a DSA certificate you
#   can configure both in parallel (to also allow the use of DSA
#   ciphers, etc.)
SSLCertificateFile "/etc/ssl/apache/example.com.crt"

#   Server Private Key:
#   If the key is not combined with the certificate, use this
#   directive to point at the key file.  Keep in mind that if
#   you've both a RSA and a DSA private key you can configure
#   both in parallel (to also allow the use of DSA ciphers, etc.)
SSLCertificateKeyFile "/etc/ssl/apache/example.com.key"

#   Server Certificate Chain:
#   Point SSLCertificateChainFile at a file containing the
#   concatenation of PEM encoded CA certificates which form the
#   certificate chain for the server certificate. Alternatively
#   the referenced file can be the same as SSLCertificateFile
#   when the CA certificates are directly appended to the server
#   certificate for convinience.
SSLCertificateChainFile "/etc/ssl/apache/sub.class1.server.ca.cer"

#   Certificate Authority (CA):
#   Set the CA certificate verification path where to find CA
#   certificates for client authentication or alternatively one
#   huge file containing all of them (file must be PEM encoded)
#   Note: Inside SSLCACertificatePath you need hash symlinks
#         to point to the certificate files. Use the provided
#         Makefile to update the hash symlinks after changes.
SSLCACertificateFile "/etc/ssl/apache/ca.cer"

Indítsa újra az Apache webkiszolgálót:

# /usr/local/etc/rc.d/apache22 restart

Ezután a https://example.com oldal már hibaüzenet nélkül fog megnyílni a böngészőben.