MJU Vlada RS SIGEN-CA Overitelj na MJU English

Priprava zahtevka za digitalno potrdilo za strežnik Apache

V konfiguracijski datoteki strežnika v spodaj navedenih treh vrsticah določimo, kje bo par ključev in kje bodo digitalna potrdila ter kakšna imena naj imajo te datoteke:

SSLCACertificatePath /pot-do-apache/conf/ssl.crt/
SSLCertificateKeyFile /pot-do-apache/conf/ssl.key/apache.kljuc
SSLCertificateFile /pot-do-apache/conf/ssl.crt/apache.crt

Za tvorjenje para ključev po algoritmu RSA in zahtevka za digitalno potrdilo uporabljamo ukaze OpenSSL. Navodila najdemo na internetu na strani http://www.openssl.org/docs/apps/openssl.html.

Pri tem določimo vsaj dolžino para ključev ter imeni datotek, kamor se shranita par ključev in zahtevek za digitalno potrdilo. Zahtevek za digitalno potrdilo se tvori v obliki PKCS#10. 

Primer, kjer zahtevamo 2048-bitni ključ RSA:

/pot-do-openssl/openssl req -new -newkey rsa:2048 \
-keyout /pot-do-apache/conf/ssl.key/apache.kljuc -out apache_zahtevek.pem

Med postopkom bo program od nas zahteval, da vnesemo geslo, s katerim zaščitimo par ključev (Pass phrase). Tega bomo morali vnesti vsakič, ko bomo pognali strežnik, zato ga ne smemo pozabiti. Naslednje, kar nas sprašuje, so podatki za DN (Distinguished Name v imeniku po standardu X.500) našega strežnika, ki morajo biti vključeni v zahtevek za digitalno potrdilo:

C=SI
ST=Slovenija
O=Organizacija
OU=Organizacijska enota
CN=11111111 Sem obvezno vnesemo referenčno številko, ki smo jo dobili od administratorja SIGEN-CA. V digitalnem potrdilu bo ta številka zamenjana z imenom strežnika, ki smo ga navedli v prijavnici za digitalno potrdilo.
Preostala polja pustimo prazna (Challenge, ...).

Datoteko apache_zahtevek.pem odpremo z urejevalnikom in jo prek vložišča skopiramo v pripravljeno tretje polje na strani za nameščanje potrdila.
Kliknemo na gumb Pošlji in počakamo na odgovor (postopek lahko traja tudi več kot minuto). Overiteljev strežnik nam vrne digitalno potrdilo v taki obliki, da ga lahko skopiramo na odložišče in potem na datoteko na našem strežniku.

Ne prekinjajmo postopka! Če bomo postopek prekinili, se lahko zgodi, da bo potrdilo za poslani zahtevek že tvorjeno - vezano je na ključ, ki smo ga poslali. V tem primeru referenčna številka in avtorizacijska koda ne veljata več. Potrdilo si lahko poiščemo z iskalnikom, izberemo prikaz v PEM kodi DER oblike (displayed as PEM encoding of certificate in raw DER) in ga skopiramo na strežnik. Najslabše pa je, če postopek prekinemo in ga v celoti ponovimo: tvorimo nov ključ na datoteko z istim imenom, kot ga je imel ključ z že poslanim zahtevkom, ter tako izgubimo prvotni ključ, na katerega je vezano potrdilo, ki je bilo vmes tvorjeno. V takem primeru moramo zaprositi za novo potrdilo.

Poskrbimo za varnostno kopijo ključa (skopirajmo datoteko, ki jo v zgornjem primeru imenujemo apache.kljuc) in si zapomnimo geslo, s katerim smo ključ zaščitili.

© Overitelj na Ministrstvu za javno upravo RS