Apache – Apache SSL mod_SSL

 

För att skapa en CSR, behöver du skapa ett nyckelpar till din server. Dessa två filer är ett digitalt certifikat nyckelpar och kan inte bli separerade. Om du tappar bort din öppna eller hemliga nyckel fil eller ditt lösenord och skapar en ny nyckel, kommer ditt SSL certifikat inte längre att matcha och ett nytt nyckelpar måste göras.

Steg 1: Skapa ett nyckelpar.

NOTERA: en nyckel längd på 1024 bitar är standard, men Geotrust rekommenderar att man använder en 2048 bitars nyckel. Om ansökan är tänkt till ett förlängd giltighet certifikat eller till ett certifikat med en giltighets period längre än til 31 December 2013, ska man välja en 2048 bitars nyckel längd.

Verktyget ”openssl” används för att skapa nycklar och en CSR. Detta verktyg kommer med OpenSSL paketet och är oftast installerad under /usr/local/ssl/bin. Om du har installerat det någon annanstans behöver du anpassa dem här instruktionerna.

För en okrypterad nyckel, skriv det här i prompten:

openssl genrsa -out www.mydomain.com.key 2048

För en krypterad nyckel, skriv det här i prompten: (Windows version av openssl är inte kompatibel med lösenords skyddade nycklar)

openssl genrsa -des3 -out www.mydomain.com.key 2048


Detta kommando skapar en 2048 bitars RSA hemlig nyckel och sparar den i filen www.mindoman.se.key. På lösenordskravet: skriv in ett säkert lösenord och kom ihåg det, eftersom detta lösenord är det som skyddar den hemliga nyckeln. Både den hemliga nyckeln och certifikatet behöver aktivera SSL.

NOTERA:

För att slippa ha lösenord på nyckeln, ange inte “-des3″ optionen när du skapar den hemliga nyckeln. Om du inte skyddar den hemliga nyckeln med ett lösenord, rekommenderar Geotrust att tillgången till serven är begränsad så att endast auktoriserade server administratörer kan nå eller läsa den hemliga nyckel filen.

Steg 2: skapa en CSR

För att skapa en CSR, skriv det här i prompten:

openssl req -new -key www.mydomain.com.key -out www.mydomain.com.csr

Programmet kommer att fråga efter följande X.509 värden som är en del av certifikatet:

Country Name: Använd två-bokstavs koden utan punkter för land, till exempel: SE

State or Province: Används i USA för att skriva ut stater, i vårt fall används den inte, skriv landskoden igen, till exempel: SE

Locality or City: Använd postorten, till exempel: Sollentuna eller Hjo. Förkorta inte.

Company: Om ditt företag har ett &, @, eller någon annan symbol som kräver att man använder skiftläget i sitt namn, behöver du stava ut symbolen eller utesluta den. Exempel: Gurka & Tomat AB blir Gurka och Tomat AB eller Gurka Tomat AB.

Organizational Unit: Detta fält är frivilligt; men kan anvädas för att hjälpa med att identifiera certifikat registrerade till en organisation. För att skippa detta fält, tryck enter på ditt tangentbord.

Common Name: Common Name ska vara det namn som används för att nå systemet, det namn som finns i DNS. Det måste vara det fulla namnet, inklusive domännamn och toppdomän. Om certifikatet är ett wildcard-certifikat ska datorns namn ersättas med asterisk följt av domän, t.ex. “*.exempel.se”

Lägg inte in e-postadress, lösenord för nycklar eller alternativt företagsnamn (optional company name) när du skapar din CSR.

Ett nyckelpar med en hemlig och en publik öppen nyckel har skapats. Den hemliga nyckeln som används för autenticering och kryptering sparas lokalt på servern. Den publika nyckeln är en del av certifikatansökan (CSR).

För att kopiera och klistra in informationen i ansökan, öppna filen i en text redigerare som t.ex. Notepad eller Vi och spara den som en .txt fil. Använd inte Microsoft Word eftersom den kan stoppa in extra, gömda bokstäver som ändrar innehållet i din CSR. När en CSR har blivit skapad, fortsätt med ansökan.

Steg 3: Gör en backup av din hemliga nyckel

Geotrust rekommenderar att man gör en backup av .key filen och förvaringen av den tillhörande lösenords frasen. Ett bra sätt är att kopiera filen till en usb-sticka eller annan flyttningsbar media. Att göra en backup av filen är inte ett måste, men det kan vara till ens hjälp om severn kraschar.

 Posted by at 08:23