Απόκτηση ψηφιακών πιστοποιητικού εξυπηρετητή ΑΠΘ με χρήση του openssl

Οι οδηγίες που ακολουθούν περιγράφουν τη διαδικασία απόκτησης ψηφιακού πιστοποιητικού εξυπηρετητή (server) για πολλαπλές διευθύνσεις (URL) ενός ιστοχώρου, π.χ. http://www.math.auth.gr, http://math.auth.gr.

Στην περίπτωση που επιθυμείτε ψηφιακό πιστοποιητικό server για ένα και μόνο URL, π.χ. synedrio01.web.auth.gr, ακολουθήστε την αυτόματη διαδικασία που περιγράφεται σε αυτήν την ιστοσελίδα.

Συνδεόμαστε στη σελίδα έκδοσης πιστοποιητικού διακομιστή με τον πλοηγό της προτίμησής μας, συμπληρώνουμε το πλήρες Internet όνομα Fully Qualified Domain Name (FQDN) του διακομιστή για τον οποίο επιθυμούμε να εκδώσουμε το πιστοποιητικό (πχ www.math.auth.gr) και πατάμε Επόμενο.

Η παραπάνω σελίδα απαιτεί πιστοποίηση ταυτότητας με το ψηφιακό πιστοποιητικό χρήστη, το οποίο θα μας ζητηθεί. Από τη σελίδα που εμφανίζεται σημειώνουμε το διακεκριμένο όνομα που μας παρουσιάζεται π.χ. "CN=www.math.auth.gr, OU=School of Mathematics, O=Aristotle University of Thessaloniki, L=Thessaloniki, C=GR".

Δημιουργούμε με το Notepad ένα αρχείο ρύθμισης με όνομα my.cnf, χρησιμοποιώντας κάτω από το τμήμα [usr] τα πεδία των ονομάτων όπως το διακεκριμένο όνομα που μας δόθηκε από τη σελίδα υποβολής αίτησης για έκδοση πιστοποιητικού διακομιστή.

ΠΡΟΣΟΧΗ : Κάτω από το τμήμα [v3_req], συμπληρώνουμε το πεδίο subjectAltName με το FQDN για το οποίο αιτούμαστε το πιστοποιητικό, ανεξάρτητα αν θέλουμε να έχει και επιπλέον FQDN.
 
Ακολουθεί ένα πρότυπο αρχείο "my.cnf" για το παράδειγμα του ιστοχώρου www.math.auth.gr:

[ req ]
default_bits = 2048
distinguished_name = usr
prompt = no
req_extensions = v3_req

[usr ]
C = GR
L = Thessaloniki
O = Aristotle University of Thessaloniki
OU = School of Mathematics
CN = www.math.auth.gr

[ v3_req ]
subjectAltName = DNS:www.math.auth.gr
Για την περίπτωση που θέλουμε να αιτηθούμε πιστοποιητικό για ιστοχώρο που φιλοξενείται στο hosted.auth.gr ο οποίος έχει URL της μορφής web.auth.gr, χρησιμοποιούμε το παρακάτω πρότυπο :

[ req ]
default_bits = 2048
distinguished_name = usr
prompt = no
req_extensions = v3_req

[ usr ]
C = GR
L = Thessaloniki
O = Aristotle University of Thessaloniki
OU = *OrganizationalUnit (Μονάδα ΑΠΘ)*
0.OU = Hosted - Websites of AUTh Departments and Units
CN = FQDN1

[ v3_req ]
subjectAltName = DNS: FQDN1
Τέλος, για προσωπική δυναμική ιστοσελίδα που φιλοξενείται στο webpages.auth.gr, χρησιμοποιούμε το :
[ req ]
default_bits = 2048
distinguished_name = usr
prompt = no
req_extensions = v3_req

[ usr ]
C = GR
L = Thessaloniki
O = Aristotle University of Thessaloniki
OU = IT Center
0.OU = Webpages - Personal Websites of AUTh Users
CN = *username*.webpages.auth.gr

[ v3_req ]
subjectAltName = DNS:*username*.webpages.auth.gr

 

Δημιουργούμε με χρήση της openssl (έκδοση για Windows, το σημείο εγκατάστασης της openssl ενδεικτικά είναι C:\Program Files (x86)\GnuWin32\bin\openssl.exe), το ιδιωτικό κλειδί  το οποίο θα χρησιμοποιηθεί για το αίτημα ψηφιακού πιστοποιητικού και στη συνέχεια για τη χρήση του τελικού πιστοποιητικού. Η εντολή που πρέπει να εκτελέσουμε ανοίγοντας το αρχείο openssl.exe είναι:

openssl req -new -keyout server.key -config my.cnf -out server.req  –nodes

και το κλειδί θα δημιουργηθεί στο αρχείο server.key.

 

Ανοίγουμε το αρχείο server.req με ένα πρόγραμμα που διαβάζει απλό κείμενο ASCII (π.χ. notepad), αντιγράφουμε τα περιεχόμενα του και τα επικολλούμε στο πεδίο Αίτηση σε μορφή PKCS10 της σελίδας αίτησης για έκδοση πιστοποιητικού. Τέλος, επιλέγουμε Αιτούμαι.

ΠΡΟΣΟΧΗ : Σε περίπτωση που το αίτημα περιέχει πάνω από ένα FQDN ως Subject Alternative Name, η διαδικασία αλλάζει και χρειάζεται να το αποστείλουμε ως συνημμένο στην ηλεκτρονική διεύθυνση support@auth.gr. Το πιστοποιητικό θα εκδοθεί από τους διαχειριστές του ΚΗΔ και θα μας σταλεί με μήνυμα ηλεκτρονικού ταχυδρομείου.

 

Μόλις κατατεθεί η αίτηση, θα πρέπει να ελεγχθεί και να εγκριθεί από τους διαχειριστές του ΚΗΔ. Στη συνέχεια θα ενημερωθούμε με μήνυμα ηλεκτρονικού ταχυδρομείου για την έκδοση και την παραλαβή του πιστοποιητικού.

Αν ο ιστοχώρος μας φιλοξενείται στην υποδομή hosted.auth.gr του ΚΗΔ, για την ενεργοποίηση SSL πρωτοκόλλου, ακολουθούμε τις οδηγίες.

 
Με εικόνες