Přináším jednoduchý návod pro vygenerování certifikátu SSL pro šifrování webových stránek. Slíbil jsem to v diskusi čtenáři pedrosovi, který je zastánce (podobně jako Admin aeronetu) šifrování přes zdarma či placený VPN server.
Osobně se přikláním spíše k tomu, aby se internetový surfař choval spíše nezávadně (a ano, na téma Vzorový občan chystám článek). Nicméně soukromí občana je na prvním místě a velmi snadným způsobem, jak se tomuto přiblížit, je používat protokol https pro přístup na webové stránky.
Protokol však musí být podporován "adminem" webu :-) a samozřejmě jej musí přijmout za svůj také internetový prohlížeč. Některé prohlížeče se brání víc, některé míň, obecně mám nejméně potíží s Firefoxem jak pro Linux, tak pro Windows. Avšak pozor - nevěřím ani Firefoxu, a proto mám rozdělanou práci na vlastním prohlížeči v rámci své aplikace
Domácí Informační Systém:SurvivalBoy, která již brzy vyjde v první verzi. Odkaz směřuje na rozpracovaný manuál, kde v tuto chvíli ještě není všechno, co má být, ale pracuji na tom. A ano, jedná se o multiplatformní aplikaci,
předběžné preview alfa verze je zde. Od té doby jsem učinil značný pokrok.
Jak vytvořit certifikát SSL
Jedná se o návod pro OpenSuse 13.1 a weby jedoucí na "apache", ale měl by podle mého názoru fungovat ve většina linuxových distribucí a verzí webového serveru apache.
Vše probíhá v konzoli.
1. /etc/apache2/sslpříkaz:
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout mail.postapostaposta.cz.key -out mail.postapostaposta.cz.crtvysvětlení:
openssl = aplikace pro linux, která umí vygenerovat certifikát. Jedná se o šifrovací nástroj, který má implementovaný protokol SSL (Secure Sockets Layer) v2/v3 a přenosový protokol TLS (Transport Layer Security) v1.
req = tzv. CSR = Certificate Signing Request Management.
x509 = x509 Certificate Data Management.
days 365 = platnost certifikátu na 365 dnů. Lze jej používat i nadále, ale prohlížeče budou "brblat" ještě víc. Platnost lze nastavit vyšší.
newkey rsa:2048 = RSA Key Management, délka klíče v bitech. Dle tohoto zdroje:
https://cs.wikipedia.org/wiki/D%C3%A9lka_kl%C3%AD%C4%8De
by tyto klíče měly být neprolomitelné až do roku 2030.
keyout = název klíče a certifikátu (výstupní soubory)
2.
Doplnění údajů.Aplikace vás v konzoli vyzve k doplnění údajů. Pokud doplníte pouhou tečku, údaj bude prázdný. Prohlížeče k veřejným údajům přihlíží v rámci posuzování "bezpečnosti certifikátu", jiné údaje mají vliv na individualizaci certifikátu a klíče.
Country Name (2 letter code) [AU]:
CZState or Province Name (full name) [Some-State]:
Czech RepublicLocality Name (eg, city) []:
PrahaOrganization Name (eg, company) [Internet Widgits Pty Ltd]:
Rebelský web na důchodci placeném openVPN :-), s.r.o.Organizational Unit Name (eg, section) []:
.Common Name (e.g. server FQDN or YOUR name) []:
Vedoucí VeletrhuEmail Address []:
veletrh@vedouci_veletrhu.cz3. JE TO VŠE!!!
A kolik to bylo sekund? Maximálně tak 30 sekund, víc ne. Certifikát i klíč jsou připraveny pro webmastera k použití!
Závěrem
Ukázali jsme si, jak si lze snadno vytvořit certifikát a klíč. V Linuxu to opravdu není žádný složitý proces. Zkušený webmaster nyní musí tyto dva soubory použít pro zavedení protokolu https. Tento úkon většinou trvá cca 5 minut. Celkově to tedy není žádná věda.
Certifikát si musí uživatel po aktivaci webu na dané https adrese povolit/zdůvěryhodnit ve svém prohlížeči, protože u těchto certifikátů bude většina prohlížečů frflat sračky a žádat placený/komerční/bezpečnostními úřady pravděpodobně monitorovaný certifikát.
Tak a tento proces důchodce bolet finančně nebude, naopak, webmaster musí najít chvilku u sebe.
Zdroj:
názor a poznatky autora
https://cs.wikipedia.org/wiki/D%C3%A9lka_kl%C3%AD%C4%8De
https://en.wikipedia.org/wiki/Certificate_signing_request
