SSL

From A-Eskwiki
Revision as of 20:21, 6 May 2015 by Rwerken (Talk | contribs)

Jump to: navigation, search


Uitleg

SSL wordt gebruikt om netwerk verbindingen te beveiligingen, zoals http en imap verkeer. Hiertoe gebruiken we bij a-eskwadraat een reverse proxy die het verkeer versleuteld voor de buitenwereld.

Voor het certificaat van A-Eskwadraat maken we op dit moment gebruik van xolphin: https://www.sslcertificaten.nl/

Wachtwoord van certificaat halen

Indien de private key is beveiligd met een wachtwoord, dan is dit wachtwoord ook nodig bij het opstarten. Dit kan vervelend zijn wanneer de server opnieuw opstart zonder dat iemand ter plaatse is om het wachtwoord in te tikken. Het wachtwoord kan met het volgende commando worden verwijderd. Zorg hierbij dat de shell zich bevindt in de map waarin de private key staat opgeslagen: 

[root@server cert]# openssl rsa -in encrypted_private_key.key -out private_key.key

Vervang hierbij encrypted_private_key.key met de naam van de private key, en vervang private_key.key met de gewenste bestandsnaam voor de nieuwe private key zonder wachtwoord.

Aanmaken CSR

stap 1

Maak met behulp van SSH verbinding met de server en log in als root. Ga met behulp van het cd-commando naar de map toe waar de certificaten moeten worden bewaard: 

[root@server]# cd /etc/ssl/cert/

stap 2

Met het volgende commando kunnen de Private Key en de CSR worden gegenereerd: 

[root@server cert]# openssl req -nodes -newkey rsa:2048 -keyout a-eskwadraate_nl.`date +%Y%m%d`.key -out a-eskwadraat_nl.`date +%Y%m%d`.csr -subj '/C=NL/ST=Utrecht/L=Utrecht/O=A-Eskwadraat/OU=Sysop/CN=*.a-eskwadraat.nl/emailAddress=sysop@a-eskwadraat.nl'

stap 3

Voer de gegevens in die gebruikt worden voor het aanvragen van het SSL Certificaat. Het is erg belangrijk dat deze informatie overeenkomt met de whois gegevens van de domeinnaam en de gegevens van de organisatie zoals die geregistreerd zijn bij de Kamer van Koophandel. Voor sommige velden is er een standaardwaarde, deze is weergegeven tussen brackets. ( [standaard waarde] )

Bij de Common Name (CN) moet u de naam van de webserver opgeven zoals de client deze zal gaan aanspreken. In de meeste gevallen is dit een volledige domeinnaam zoals bijvoorbeeld: www.hieruwdomeinnaam.nl

Let op: Laat u dus niet in de war brengen door (eg. YOUR name). Hier dient u NIET uw eigen naam in te vullen.

Bij de vraag om een challenge password in te voegen kunt u direct op enter toetsen om deze stap over te slaan. Door het ingeven van een challenge password zal u bij het starten van de webserver te allen tijde worden gevraagd dit wachtwoord in te voeren.

stap 4

OpenSSL genereert twee bestanden: de Private Key (met als naam www_sslcertificaten_nl.key) en de CSR (met als naam www_sslcertificaten_nl.csr).

stap 5

Beveilig de certificaatbestanden zodat niemand behalve de rootgebruiker erbij kan: 

[root@server cert]# chmod 600 *.key *.csr

stap 6

Nu kan de CSR met behulp van het cat-commando worden weergegeven: 

[root@server cert]# cat www_sslcertificaten_nl.csr

De velden emailadres, optionele bedrijfsnaam en uitwisselingswachtwoord kunnen leeggelaten worden bij het aanvragen van een SSL certificaat.

Retrieved from "https://mediawiki.a-eskwadraat.nl/wiki/index.php?title=SSL&oldid=1006"