SSL sertifikat til bruk for Apache m.m.

TIHLDE benytter per 2014 namecheap for sine sertifikater, men guiden vil gjelde for de aller fleste oppsett. Den dekker ikke selvsignerte sertificater.

Nøkkelen MÅ holdes privat. Pass på at denne ligger på et sikkert sted med 600 som rettigheter. Pass på at du genererer nøkkelen i en sikker mappe slik at ingen kan snappe den opp mens du jobber.

TIHLDE har en mappe ved navn ssl som eies av root og har rettigheter satt til 700. I denne mappen ligger mappene csr, certs og private. I csr mappen utfører vi følgende kommando:

openssl req -nodes -newkey rsa:4092 -keyout tihlde.key -out tihlde.csr
Country Name (2 letter code) [AU]:NO
State or Province Name (full name) [Some-State]:Sør-Trøndelag
Locality Name (eg, city) []:Trondheim
Organization Name (eg, company) [Internet Widgits Pty Ltd]:TIHLDE
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:*.tihlde.org
Email Address []:drift-nospam@tihlde.org

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Merk spesielt at for TIHLDE sin del må Common Name være *.tihlde.org da vi har wildcardsertifikat.

Deretter følger du SSL utgiveren sin framgangsmåte for å få signert sertifikat fra dem.

Ved motatt sertifikat er det et par ting som må gjøres for TIHLDEs del. I ~/ssl/ mappen legges arkivet mottatt fra namecheap og pakkes ut. .crt og .ca-bundle plasseres i certs/, og nøkkel i crt/ kopieres til private/ og omdøpes til sertifikatnavn.key For TIHLDE sitt vedkommende er dette STAR_tihlde_org.key

Deretter må det opprettes manuelt en .pem fil for enkelte av våre tjenester som vil ha sertifikat og nøkkel i samme fil. Oppretter dermed STAR_tihlde_org.pem og legger inn cert og nøkkel så den ser slik ut:

-----BEGIN CERTIFICATE-----
blahblahblah
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
mereblahblahblah
-----END PRIVATE KEY-----

Nå er vi klare til å kopiere nøklene og sertifikatene der de hører hjemme. Før du går videre så pass på at mappen /etc/ssl/private eies av root:ssl-cert (gruppenavn kan variere, for TIHLDE er det ssl-cert) og at den har korrekte rettigheter på 710

Kopier innholdet fra ~/ssl/certs til /etc/ssl/certs/ og innholdet fra ~/ssl/private til /etc/ssl/private Dobbeltsjekk deretter eierskap og rettighetene på .key og .pem slik at disse også er eid av root:ssl-cert og 640, evt 440.

Enkelte tjenester som skal ha tilgang til den private nøkkelen må deretter legges til i gruppen ssl-certs om dette ikke har skjedd automatisk.

For å aktivere de nye sertifikatene, også om du oppdaterer eksisterende sertifikater, husk å restarte alle relevante tjenere. Verifiser deretter at alt gikk som planlagt!

  • howto/ssl_sertifikat.txt
  • Last modified: 10/04/2014 14:40
  • by Thomas Juberg