Creare certificati SSL su fedora core 8
Thursday, July 17th, 2008I certificati SSL che vengono creati dalle distribuzioni hanno chiaramente dei valori di default. In un ambiente di produzione è chiaramente bruttino avere una pagina web protetta con crittografia SSL che dica all’utente che il certificato della sessione è “autosegnato” da localhost.
Vediamo come realizzare attraverso pochi passi un nostro certificato personalizzato.
Creazione Chiave privata
Da utente root, creaiamo la nostra chiave privata
# openssl genrsa -des3 -out server.key 1024
Questo creerà nella cartella /etc/pki/tls un file server.key, contentente la chiave privata. Ci verrà chiesta una password che è necessaria ogni volta che accederemo alla nostra chiave privata.
Il secondo passo consiste nel creare una richiesta di certificato di segnatura. La richiesta la faremo a… noi stessi, usando la chiave appena creata. Digitiamo quindi
# openssl req -new -key server.key -out server.csr
Dovremo inserire alcune informazioni, come la nazione, il nome della nostra organizzazione ed altre. Inserite informazioni corrette perchè queste verranno visualizzate dal browser quando verrà richiesto un accesso sicuro alle pagine.
Poichè andrea ad usare i certificati con Apache ad esempio è utile far si che non ci sia una richiesta di password ad ogni accesso alla chiave, cosa fastidiosa in fase di boot. Per eliminare la password procediamo come segue. Copiamo la chiave
# cp server.key server.key.orig
e creaiamo il certificato segnato usando RSA come algoritmo, che non chiederà più la password.
# openssl rsa -in server.key.orig -out server.key
A questo punto siamo pronti per generare un certificato auto segnato. Digitiamo
# openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
A questo punto avremo il nostro file server.crt in /etc/pki/tls pronto per essere utilizzato