Генерация ключа
Red Hat Enterprise Linux 4: Руководство по системному администрированию | ||
---|---|---|
Назад | Глава 26. Настройка безопасного HTTP-сервера Apache | Вперёд |
26.6. Генерация ключа
Чтобы сгенерировать ключ, вы должны быть пользователем root.
Сначала, с помощью команды cd перейдите в каталог /etc/httpd/conf/. Удалите фиктивный ключ и сертификат, созданные во время установки, выполнив следующие команды:
rm ssl.key/server.key rm ssl.crt/server.crt |
Затем создайте свой собственный случайный ключ. Перейдите в каталог /usr/share/ssl/certs/ и введите следующую команду:
make genkey |
На экране компьютера появляется примерно следующее:
umask 77 ; \ /usr/bin/openssl genrsa -des3 1024 > /etc/httpd/conf/ssl.key/server.key Generating RSA private key, 1024 bit long modulus .......++++++ ................................................................++++++ e is 65537 (0x10001) Enter pass phrase: |
Теперь вы должны ввести секретную фразу. В целях безопасности ваш пароль должен содержать как минимум восемь символов, включать в себя цифры и/или специальные знаки, и не являться словом из словаря. Помните, в секретной фразе имеет значение регистр символов.
Замечание | |
---|---|
Вы должны запомнить эту секретную фразу и вводить её при каждом запуске своего безопасного сервера. Если вы забудете её, ключ потребуется сгенерировать заново. |
Введите секретную фразу ещё раз, чтобы подтвердить её правильность. Если вы не допустите ошибок, будет создан файл /etc/httpd/conf/ssl.key/server.key, содержащий ваш ключ.
Обратите внимание, если вы не хотите вводить секретную фразу при каждом запуске вашего безопасного сервера, вместо команды make genkey можно выполнить следующие две команды.
Создать свой ключ с помощью следующей команды:
/usr/bin/openssl genrsa 1024 > /etc/httpd/conf/ssl.key/server.key |
Затем назначить правильные права доступа к этому файлу, выполнив следующую команду:
chmod go-rwx /etc/httpd/conf/ssl.key/server.key |
Если вы создадите ключ с помощью этих команд, вводить секретную фразу для запуска безопасного сервера не потребуется.
Внимание | |
---|---|
Отключение запроса секретной фразы для сервера представляет собой угрозу безопасности. Отключать запрос секретной фразы для безопасного сервера не рекомендуется. |
В зависимости от защищённости вашего компьютера, у вас могут возникнуть проблемы, связанные с отключением секретной фразы. Например, если злоумышленник взломает систему безопасности UNIX на этом компьютере, он сможет получить ваш закрытый ключ (содержимое файла server.key). Затем этот ключ может использоваться для фальсификации веб-страниц и компрометации вашего безопасного сервера.
Если безопасность UNIX на сервере поддерживается должным образом (все обновления и исправления операционной системы устанавливаются по мере их появления, ненужные или опасные службы отключены, и т. д.), может показаться, что секретная фраза для безопасного веб-сервера не нужна. Однако, так как ваш безопасный сервер не должен перегружаться слишком часто, дополнительный уровень защиты, обеспечиваемый паролем, в большинстве случаев оправдывает неудобство ввода секретной фразы.
Файл server.key должен принадлежать пользователю root и не должен быть доступен другим пользователям. Сделайте резервную копию этого файла и сохраните её в безопасном, защищённом месте. Эта копию необходимо сохранить, так как если вы утеряете файл server.key, сформировав до этого с его помощью запрос на получение сертификата, ваш сертификат больше не будет работать и центр сертификации ничем не сможет вам помочь. В таком случае вы сможете только запросить (и ещё раз оплатить) новый сертификат.
Если вы собираетесь приобрести сертификат в центре сертификации, перейдите к разделу 26.7 Формирование запроса к центру сертификации на получение сертификата. Если вы выдаёте себе сертификат самостоятельно, перейдите к разделу 26.8 Самостоятельное формирование сертификата.