У меня следующая конфигурация:
SSLEngine onSSLCertificateFile/etc/httpd/conf/login.domain.com.crtSSLCertificateKeyFile/etc/httpd/conf/login .domain.com.keySSLCipherSuite ALL: -ADH: + HIGH: + MEDIUM: -LOW: -SSLv2: -EXP
, но я не знаю, как сгенерировать .crt
и .key
файлы.
crt и файлы ключей представляют обе части сертификата, причем ключ является закрытый ключ к сертификату и crt, являющийся подписанным сертификатом.
Это только один из способов создания сертификатов, другим способом было бы наличие обоих внутри файла pem или другого в контейнере p12.
У вас есть несколько способов сгенерировать эти файлы, если вы хотите самостоятельно подписать сертификат, вы можете просто ввести эти команды
openssl genrsa 2048> host .keychmod 400 host.keyopenssl req -new -x509 -nodes -sha256 -days 365 -key host.key -out host.cert
Обратите внимание, что с самозаверяющими сертификатами ваш браузер предупредит вас, что сертификат cate не является “доверенным”, потому что он не был подписан центром сертификации, который находится в списке доверенных лиц вашего браузера.
С этого момента вы можете создать свою собственную цепочку доверия, сделав свой ЦС или купите сертификат у такой компании, как Verisign или Thawte.
Это публичная (.crt) и частная (.key) части сертификата SSL. См. Этот вопрос для получения большого количества необходимой информации, например если вы хотите создать сертификат самостоятельно, или купите его.
-
Основной вопрос, но – я предполагаю, что мне нужно скопировать .key в мою папку
~/.ssh
, когда я загружаю свой CSR-файл на свой ssl-провайдер? – Касим, 06 янв. 2017, в 18:11 -
1@Qasim SSL-файлы не имеют ничего общего с SSH (которому принадлежит папка .ssh). – Фолькер Штольц, 7 фев. 2017, в 10:30
Это общедоступная (.crt) и частная (.key) части сертификата SSL. См. Этот вопрос для получения большого количества необходимой информации, например если вы хотите создать сертификат самостоятельно или купить его.
Могу ли я создать файлы .cert и .key? [закрыто]
Я создаю тестовый сервер, который должен использовать OpenSSL. Я никогда не делал сервер, поэтому, когда я прочитал инструкции по работе с apache, я застрял на первой части; конкретно эти строки:
SSLCertificateFile/path/to/www.example.com.cert
SSLCertificateKeyFile/path/to/www.example.com.key
Я не знаю, чем заменить “/path/to/www.example.com.cert” и “/path/to/www.example.com.key” на . У меня есть полностью пустая виртуальная машина Windows 2003, на которой работает сервер в изолированной тестовой лаборатории, поэтому она совершенно бесплодна. Таким образом, когда я искал файл .cert, ничего не появилось.
Так могу ли я их создать? Имейте в виду, я просто тестирую. Следует отметить, тестирование OpenSSL на Apache.
Вы должны использовать команды openssl для генерации файла ключей и файла сертификата. Насколько я понимаю, вы пытаетесь создать самоподписанные сертификаты.
В основном вам нужно создать свой собственный CA и использовать ca.cert для подписи каждого ключевого файла, который вы генерируете.
Теперь замените ca.cert в “/path/to/ www.example.com.cert “и ключевой файл с/pahto/key.
Следующая ссылка объясняет, какие команды для этого используются:
http://blog.didierstevens .com/2008/12/30/howto-make-your-own-cert-with-openssl/
Вы можете использовать xca. У него уже есть шаблон CA и шаблон сервера https в установке по умолчанию.
Сначала создайте ЦС (новый сертификат, шаблон ЦС), а затем из этого ЦС (выберите сертификат ЦС и щелкните новый сертификат) создайте сертификат сервера. Затем экспортируйте сертификат CA, сертификат сервера (www.example.com.cert) и закрытый ключ сервера (www.example.com.key).
Вы можете использовать xca. У него уже есть шаблон CA и шаблон сервера https в установке по умолчанию.
Сначала создайте ЦС (новый сертификат, шаблон ЦС), а затем из этого ЦС (выберите сертификат ЦС и щелкните новый сертификат) создайте сертификат сервера. Затем экспортируйте сертификат CA, сертификат сервера (www.example.com.cert) и закрытый ключ сервера (www.example.com.key).