sslug-teknik team mailing list archive

[Henrik "St�" <henrik@xxxxxxx>]

In <b09ov6$ovo$1@xxxxxxxxxxxx> Gitte Wange <gitte@xxxxxxxxxx> writes:

>Hvordan genererer jeg et ssl certifikat til min Apache server.
>Jo med openssl ...
>Men derudover ?

Det er ikke så slemt - når først man har fundet ud af det.

Du skal først etablere dig selv som "Certificate Authority" (CA),
d.v.s. en organisation der kan signere certifikater ligesom
Verisign og den slags.

Så genererer du - som "kunde" - et certifikat request.

Tilbage i CA rollen signerer du certifikatet.

Jeg har et directory med SSL-certifikat ting liggende, hvor jeg
kan være CA for mig selv. Her er mine noter med hvordan jeg gjorde:

--- howitwasdone.txt ---
# CA role : Setup the new CA
openssl req -new -x509 -keyout private/CAkey.pem -out private/CAcert.pem -config ./openssl.cnf 
if [ ! -f serial ]; then echo "01" >serial; fi

# Customer role: Generate customer private key and a cert. request
openssl req -new -keyout server.key -out server.csr -days 365  -config ./openssl.cnf 

# CA role: Sign the certificate using the CA private key
openssl ca -policy policy_anything -out server.cer -config ./openssl.cnf -infiles server.csr


# To view a certificate request
openssl req  -noout -text -in server.csr

# To view a certificate
openssl x509 -noout -text -in server.cer

# To remove encryption from the private key
mv server.key server.key.encrypted
openssl rsa -in server.key.encrypted -out server.key
--- end ---

Hvis du vil installere din egen CA's rod-certifikat i browseren eller
et andet sted, for at undgå "brok" når du går ind på din
https-website, så er det "private/CAcert.pem" filen du skal installere
i "Trusted Root" databasen.

"openssl.cnf" filen findes som regel sammen med OpenSSL -
/usr/lib/ssl, som oftest. Jeg har blot kopieret den lokalt, og
sat nogle default værdier ind for organisations-navn etc. som
passer mig bedre.

-- 
Henrik Storner <henrik@xxxxxxx>