Tanúsítványkérelem készítése, tanúsítvány telepítése Apache szerveren
Tartalomjegyzék 1. BEVEZETÉS...3 2. TANÚSÍTVÁNYKÉRELEM ÉS PRIVÁT KULCS KÉSZÍTÉSE...3 2.1 Véletlen jegyzék készítése...3 2.2 Jelszóval védett privát kulcs készítése...3 2.3 Backup készítése...3 2.5 A tanúsítványkérelem tartalma...4 3. TANÚSÍTVÁNYKÉRELEM FELADÁSA...5 4. TANÚSÍTVÁNY LETÖLTÉSE ÉS TELEPÍTÉSE...7 5. APACHE SZERVER KONFIGURÁLÁSA...8 6. SZERVER INIDÍTÁSA...8 8/2
1. BEVEZETÉS Első lépésként tesztelnünk kell, hogy webszerverük képes e SSL kommunikációra. Ehhez lépjünk be az Apache webszerver könyvtárába (pl.: /usr/local/etc/apache), majd indítsuk el a httpd.conf, vagy httpsd.conf file-t a következő módon: httpd ver, vagy httpsd ver Amennyiben a megjelent verzióban (pl.: Server version Apache/1.2.x_Ben-SSL/1.16) szerepel az SSL szó, akkor a szerver képes az SSL tanúsítványok kezelésére, s folytathatja a kulcsgenerálást. Ellenkező esetben kérjük, vegye fel a kapcsolatot valamely ügyfélszolgálatos kollegánkkal az (1) 345-2255 telefonszámon, vagy az info@netlock.net E-mail címen. Ahhoz, hogy privát kulcsot, valamint tanúsítványkérelmet (CSR) generálhassunk, szükségünk van egy indítható SSLeay-re. Ez többnyire megtalálható a /usr/local/ssl/bin útvonalon. 2. TANÚSÍTVÁNYKÉRELEM ÉS PRIVÁT KULCS KÉSZÍTÉSE 2.1 Véletlen jegyzék készítése Készítenie kell véletlenszerű információkat tartalmazó állományt, amelyekre a kulcsgenerálásnál lesz szüksége. Törölheti, vagy megváltoztathatja a rand.dat file-t bármikor, mivel annak pontos tartalma nem fontos. A véletlen jegyzék elkészítéséhez írja be a következőket: ssleay md5 * > rand.dat, vagy cat file1 file2 file3 > rand.dat, vagy openssl md5 * > rand.dat, vagy cat file1 file2 file3 > rand.dat 2.2 Jelszóval védett privát kulcs készítése ssleay genrsa rand rand.dat des 1024 > key.pem, vagy ssleay genrsa rand rand.dat des3 1024 > key.pem (DES 3 használata esetén), vagy openssl genrsa rand rand.dat des 1024 > key.pem, vagy openssl genrsa rand rand.dat des3 1024 > key.pem (DES 3 használata esetén) Megjegyzés: Ne felejtse el jelszavát, mert e nélkül nem tudja majd kulcsát, tanúsítványát használni. 2.3 Backup készítése Készítsen egy back-up másolatot privát kulcsáról egy floppy lemezre és tartsa ezt egy biztonságos helyen. Figyelmeztetjük, hogy az Ön privát kulcsa nem található meg a NetLock Kft.-nél, ezért ha kulcsát elveszti, vagy megrongálódik, akkor szüksége lesz egy biztonsági másolatra. 8/3
2.4 Tanúsítványkérelem (CSR) készítése A tanúsítványkérelem az a kódsorozat, amelyet Ön elküld a NetLock Kft. részére hitelesítési kérelemmel. Ez egy tanúsítvány formájában érkezik vissza, s később az Ön privát kulcsával együtt használható. A tanúsítványkérelem elkészítéséhez gépelje be a következőket: ssleay req new key key.pem out csr.pem, vagy openssl req new key key.pem out csr.pem ahol a key.pem azon kulcs neve, amelyet a 2.2 pontban készített, míg a csr.pem a kimeneti file neve. A generálás során a következő információkat kell majd megadnia: Figyelmeztetés: Ékezetes karakterek használata nem engedélyezett. a) Az ország kódja: az országnak megfelelő kétjegyű azonosító kód, amelynek meg kell, egyeznie az ISO által előírt szabványnak. (pl.: AU, GB, HU ). b) A megye, vagy tartomány teljes neve ( pl.: Gyor-Moson-Sopron, GYMS helyett ) c) A város, falu, vagy helység neve d) A szervezet neve: Annak a szervezetnek a neve, amelynek tulajdonában van a DOMAIN név. e) A szervezeti egység neve ( pl.: Logosztika, Marketing) f) A Weblapjának domain neve (pl.: www.netlock.net). Ennek meg kell egyeznie a https URLel, amelyet használni akar. Ennek egy olyan DOMAIN névvel kell végződnie, amely az Ön szervezetének tulajdonában van. Amennyiben további információk kérése történik, hagyja őket figyelmen kívül. 2.5 A tanúsítványkérelem tartalma A csr.pem tartalma hasonlóan kell, hogy kinézzen: -----BEGIN CERTIFICATE REQUEST----- MIIBETCBvAIBADBXMQswCQYDVQQGEwJBVTETMBEGA1UECBMKU29tZS1TdGF0ZTEX MB8GA1UEChMYSW50ZXJuZXQgV2lkZ2l0cyBQdHkgTHRkMRAwDgYJKoZIhvcNAQkB FgFgMFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAL6nPTy3avNgbubx+ESmD4LV1LQG fcsh8neheoixgwmcplrhtp87paa0xvgpvrqujcgstrlqsd8lcyvvkoaytnucawea AaAAMA0GCSqGSIb3DQEBBAUAA0EAXcMsa8eXgbG2ZhVyFkRVrI4vT8haN39/QJc9 BrRh2nOTKgfMcT9h+1Xx0wNRQ9/SIGV1y3+3abNiJmJBWnJ8Bg== -----END CERTIFICATE REQUEST----- 8/4
3. TANÚSÍTVÁNYKÉRELEM FELADÁSA 1. lépés Következő lépésként elkészült tanúsítványkérelmét hitelesíttetnie kell a NetLock Kft.-nél. Indítsa el Internetes böngészőjét, majd nyissa meg a NetLock Kft. honlapját a http://www.netlock.net címen. Kattintson a Tanúsítvány-varázsló ablakra, amely egy az SSL tanúsítvány igényléséhez szükséges regisztrációs folyamaton vezeti keresztül Önt. 2. lépés Amennyiben először jár itt, regisztráltatnia kell magát cégünknél. Ehhez kattintson a Varázsló az elejéről gombra. Ha korábban regisztráltatta már magát, úgy kattintson a Varázsló az ügyfélmenütől gombra, s kövesse a dokumentum leírását az 5. lépéstől. 3. lépés Értelemszerűen töltse ki regisztrációs űrlapunkat, majd kattintson a Regisztráció gombra. Az űrlapon található kérdés és válasz mezők kitöltése arra szolgál, hogy ügyfélszolgálatunk egyértelműen azonosíthassa Önt, ha segítségért fordul hozzánk. 4. lépés Amennyiben regisztrációja sikeres volt, azaz adatbázisunkban nem létezett még az Ön által megadott bejelentkező név, A regisztrációja sikeres volt üzenetet kapja. Sikertelen regisztráció esetén kérjük, változtassa meg bejelentkező nevét. 8/5
5. lépés Tanúsítványkérelme feladásához be kell jelentkeznie ügyfélmenüjébe, amely a regisztráció során megadott bejelentkező név, illetve jelszó segítségével történik. Tanúsítványkérelmét csak az ügyfélmenüből adhatja fel, máshonnan nem lehetséges. 6. lépés Válassza ki a Szerver típusú tanúsítvány opciót, s győződjön meg arról, hogy a kulcspár generálásának módja az Előre elkészített PEM formátumú tanúsítványkérelem feltöltésén áll. Kattintson a Tanúsítvány kérelem gombra. 7. lépés Amennyiben még nem regisztráltatta szerverét korábban, úgy ezt is meg kell tennie (nem azonos a domain név regisztrációval). A regisztráció után megjelenő ablakban kattinston a szerver neve mellett található kis kék háromszögre, mely után egy tanúsítványkérelem feladására alkalmas ablak jelenik meg a képernyőn. 8. lépés Másolja az ablakba a már korábban kimentett tanúsítványkérelmét, és nyomja meg a Tovább gombot. Ügyeljen arra, hogy a BEGIN és END CERTIFICATE-kel kezdődő sorok is az ablakba másolódjanak. 8/6
9. lépés Válassza ki az Ön által használni kívánt tanúsítványkiadót, majd nyomja meg a Kulcsgenerálás gombot. A tanúsítványkiadókról bővebb információt találhat Ügyféltájékoztatónkban és Általános Szolgáltatási feltételeinkben (www.netlock.net). 10. lépés A tanúsítványkérelem feladásának utolsó lépéseként kérjük adja meg a tanúsítvány kifizetésének módját, írja alá belépési nyilatkozatunkat, s az igényelt tanúsítványtól függően jutassa el a szükséges dokumentumokat cégünk számára. Tanúsítványának hitelesítéséről E-mailben értesítjük Önt. 4. TANÚSÍTVÁNY LETÖLTÉSE ÉS TELEPÍTÉSE Miután értesítve lett tanúsítványkérelme hitelesítéséről, elkészült tanúsítványát a NetLock Kft. honlapjáról (www.netlock.net) töltheti le. Ehhez lépjen be ügyfélmenüjébe, kattintson a Tanúsítványok opcióra, majd válassza a Kiadott tanúsítványok menüpontot. Kattintson a tanúsítványa mellett található kis háromszögre, majd töltse le azt PEM formátumban. Másolja NotePad-be a BEGIN, END CERTIFICATE és a közéjük eső sorokat, majd mentse el cert.pem néven. Mentse át a file-t az Apache webszerverén található /usr/local/ssl/bin könyvtárba, majd adja meg a következő utasításokat: cp key.pem httpsd.pem cat cert.pem >> httpsd.pem 8/7
5. APACHE SZERVER KONFIGURÁLÁSA Lépjen be az Apache webszerver könyvtárába (pl.: /usr/local/etc/apache), majd nyissa meg szerkesztésre a httpd.conf nevű file-t. A file tartalmát egészítse ki a következő sorokkal: #Apache 1.2.x-nél az SSL szerver csak ilyen lehet ServerType standalone # Egyéb beállítások #... <VirtualHost 10.11.12.13:443> - Az SSL-t használó szerver IP címe SSLEnable SSLCertificateFile /path_to_csr/httpsd.pem SSLVerifyClient 0 SSLLogFile /path_to_logfiles/ssl.log # Egyeb beallitasok (pl. DocumentRoot, ErrorLog,...) #... </VirtualHost> 6. SZERVER INIDÍTÁSA Indítsa el webszerverét, s próbálja ki a következő címmel: https://www.ön_domain_neve.hu Amennyiben bármilyen problémája adódna a szerver konfigurálásával, kérjük forduljon bizalommal a NetLock Kft. ügyfélszolgálatához a 345-2255 telefonszámon, vagy az info@netlock.net E-mail címen. 8/8