Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия 		Предыдущая версия
abills:docs:manual:admin_cert_auth [2011/01/17 12:48]
pigich 		abills:docs:manual:admin_cert_auth [2015/12/05 17:50] (текущий)
Строка 14: Строка 14:
   serial = $dir/serial # The current serial number   serial = $dir/serial # The current serial number
   #crlnumber = $dir/​crlnumber # the current crl number must be   #crlnumber = $dir/​crlnumber # the current crl number must be
-  # commented out to leave V1 CRL+  # commented out to leave а V1 CRL
   crl = $dir/​CA/​ca.crl # The current CRL   crl = $dir/​CA/​ca.crl # The current CRL
   private_key = $dir/​CA/​ca.key # The private key   private_key = $dir/​CA/​ca.key # The private key
Строка 94: Строка 94:
   authorityKeyIdentifier=keyid:​always,​issuer:​always   authorityKeyIdentifier=keyid:​always,​issuer:​always
  
-cd /​usr/​abills/​Certs/​ 
-mkdir CA 
-mkdir server 
-mkdir user 
-  
-echo "​01"​ > serial 
-touch index.txt 
  
-**Стоврюємо сертифікат організації** +  cd /​usr/​abills/​Certs/​ && mkdir {CA,​server,​user} 
-Стоврюємо ключ і самопідписаний СА сертифікат+   
 +  echo "​01"​ > serial 
 +  touch index.txt
  
-  ​openssl genrsa –rand /​var/​log/​messages -out ./CA/ca.key -camellia256 2048+**Создаем сертификат организации** 
 +Создаем ключ и самподписанный СА сертификат 
 + 
 +  ​openssl genrsa – rand /​var/​log/​messages -out ./CA/ca.key -camellia256 2048
   ​   ​
   openssl req -new -key ./CA/ca.key -out ./CA/ca.csr   openssl req -new -key ./CA/ca.key -out ./CA/ca.csr
Строка 111: Строка 109:
   openssl x509 -req -signkey ./CA/ca.key -in ./CA/ca.csr -extfile /​etc/​ssl/​openssl.cnf -out ./CA/ca.crt   openssl x509 -req -signkey ./CA/ca.key -in ./CA/ca.csr -extfile /​etc/​ssl/​openssl.cnf -out ./CA/ca.crt
  
-Перевірка+Проверка
   openssl x509 -in ca.crt -text   openssl x509 -in ca.crt -text
  
-**Тепер стоврюємо сертифікат сервера**+**Теперь создаем сертификат сервера**
  
   openssl genrsa -rand /​var/​log/​messages -out ./​server/​freebsd.local.com.key -camellia256 2048   openssl genrsa -rand /​var/​log/​messages -out ./​server/​freebsd.local.com.key -camellia256 2048
  
-COMMON NAME вводимо **ДНС ​ім'я серверу**  +COMMON NAME вводим **ДНС ​имя серверу** 
-Пароль той самий що і для ​приватного ключа freebsd.local.com.key ​+Пароль тот же что ​и для ​частного ключа freebsd.local.com.key
  
   openssl req -new -key ./​server/​freebsd.local.com.key -config /​etc/​ssl/​openssl.cnf ​ -out ./server freebsd.local.com.csr   openssl req -new -key ./​server/​freebsd.local.com.key -config /​etc/​ssl/​openssl.cnf ​ -out ./server freebsd.local.com.csr
  
-і підписуємо його сертифікатом організації+и подписываем его сертификатом организации
  
   openssl ca -in ./​server/​freebsd.local.com.csr -cert ./CA/ca.crt -keyfile ./CA/ca.key -out ./​server/​freebsd.local.com.crt -config /​etc/​ssl/​openssl.cnf -days 365   openssl ca -in ./​server/​freebsd.local.com.csr -cert ./CA/ca.crt -keyfile ./CA/ca.key -out ./​server/​freebsd.local.com.crt -config /​etc/​ssl/​openssl.cnf -days 365
  
-**Стоврюємо сертифікат клієнта**+**Создаем сертификат клиента**
  
   openssl genrsa -rand /​var/​log/​messages -out ./​user/​client.key -camellia256 2048   openssl genrsa -rand /​var/​log/​messages -out ./​user/​client.key -camellia256 2048
Строка 133: Строка 131:
 openssl req -new -key /​user/​client.key -out ./​user/​client.csr openssl req -new -key /​user/​client.key -out ./​user/​client.csr
  
-і підписуємо його сертифікатом організації+и подписываем его сертификатом организации
  
   openssl ca -in ./​user/​client.csr -cert ./CA/ca.crt -keyfile ./CA/ca.key -out ./​user/​client.crt -extensions client -config /​etc/​ssl/​openssl.cnf   openssl ca -in ./​user/​client.csr -cert ./CA/ca.crt -keyfile ./CA/ca.key -out ./​user/​client.crt -extensions client -config /​etc/​ssl/​openssl.cnf
  
-Експортуємо в формат читаємий IE, Mozilla ​,...+Экспортируем в формат читаємий IE, Mozilla...
  
   openssl pkcs12 -export -clcerts -in ./​user/​client.crt -inkey ./​user/​client.key -out ./​user/​client.p12   openssl pkcs12 -export -clcerts -in ./​user/​client.crt -inkey ./​user/​client.key -out ./​user/​client.p12
-або+или
   openssl pkcs12 -export -clcerts -in ./​user/​certificates/​client.crt -inkey ./​user/​keys/​client.key -out ./​user/​certificates/​client.p12 -name "test certificate"​   openssl pkcs12 -export -clcerts -in ./​user/​certificates/​client.crt -inkey ./​user/​keys/​client.key -out ./​user/​certificates/​client.p12 -name "test certificate"​
  
-Копіюємо файл client.p12 на комп'ютер клієнта+Копируем файл client.p12 на компьютер клиента
  
-Редагуємо конфіг /​usr/​abills/​misc/​apache/​abills_httpd.conf+Редактируем конфиг /​usr/​abills/​misc/​apache/​abills_httpd.conf
  
-Вставляємо між <​IfModule ssl_module>​ </​IfModule ssl_module>​+Вставляем между <​IfModule ssl_module>​ </​IfModule ssl_module>​
  
   <​Location /admin>   <​Location /admin>
Строка 154: Строка 152:
   </​Location>​   </​Location>​
  
-Змінюємо шлях до сертифікатів+Изменяем путь к сертификатам
  
   SSLCertificateFile ​    /​usr/​abills/​Certs/​server/​freebsd.local.com.crt   SSLCertificateFile ​    /​usr/​abills/​Certs/​server/​freebsd.local.com.crt
Строка 160: Строка 158:
   SSLCACertificateFile ​   /​usr/​abills/​Certs/​CA/​ca.crt   SSLCACertificateFile ​   /​usr/​abills/​Certs/​CA/​ca.crt
   ​   ​
-Перезапускаємо веб-сервер+Перезапускаем веб сервер
   ​   ​
   /​usr/​local/​etc/​rc.d/​apache22 restart   /​usr/​local/​etc/​rc.d/​apache22 restart
  
-дивимось ​лог ​помилок+смотрим лог ошибок
  
-**Добавляємо сертифікат на стороні клієнта**+**Добавляем сертификат на стороне клиента**
  
-Для для роботи в Internet Explorer, GoogleChrome запускаємо freebsd.local.com.p12+Для для работы в Internet Explorer, GoogleChrome запускаем freebsd.local.com.p12
  
-Для Mozilla FireFox ​+Для Mozilla FireFox
  
 {{http://​abills.net.ua/​img/​1mozilla.jpg?​380x200}} {{http://​abills.net.ua/​img/​1mozilla.jpg?​380x200}}
 +\\
 {{http://​abills.net.ua/​img/​2mozilla.jpg?​380x200}} {{http://​abills.net.ua/​img/​2mozilla.jpg?​380x200}}
  
 +Дополнительные ссылки по авторизации с помощью сертификатов
  
 +http://​www.linuxconfig.org/​apache-web-server-ssl-authentication \\
 +http://​www.cafesoft.com/​products/​cams/​ps/​docs30/​admin/​ConfiguringApache2ForSSLTLSMutualAuthentication.html \\
 +http://​www.symantec.com/​connect/​articles/​apache-2-ssltls-step-step-part-3 \\