Απόκτηση ψηφιακών πιστοποιητικών εξυπηρετητών ΑΠΘ με χρήση του openssl

Επισκεφθείτε τη σελίδα έκδοσης πιστοποιητικού διακομιστή με τον  πλοηγό της προτίμησής σας, συμπληρώστε το πλήρες Internet όνομα Fully Qualified Domain Name (FQDN) του διακομιστή για τον οποίο επιθυμείτε να εκδώσετε το πιστοποιητικό (πχ www.math.auth.gr) και πατήστε επόμενο.

Η παραπάνω σελίδα απαιτεί πιστοποίηση ταυτότητας με το ψηφιακό πιστοποιητικό χρήστη, το οποίο θα σας ζητηθεί. Από τη σελίδα που εμφανίζεται σημειώστε το διακεκριμένο όνομα που σας παρουσιάζεται π.χ. "CN=www.math.auth.gr, OU=School of Mathematics, O=Aristotle University of Thessaloniki, L=Thessaloniki, C=GR".

Δημιουργήστε με το Notepad ένα αρχείο ρύθμισης με όνομα my.cnf, χρησιμοποιώντας κάτω από το τμήμα [usr] τα πεδία των ονομάτων όπως το διακεκριμένο όνομα που σας δόθηκε από τη σελίδα υποβολής αίτησης για έκδοση πιστοποιητικού διακομιστή.

ΠΡΟΣΟΧΗ!
Κάτω από το τμήμα [v3_req], συμπληρώστε το πεδίο subjectAltName με το FQDN για το οποίο αιτήστε το πιστοποιητικό.
 
Ακολουθεί ένα πρότυπο αρχείο "my.cnf" για το παράδειγμα του ιστοχώρου www.math.auth.gr:
 
[ req ]
default_bits = 2048
distinguished_name = usr
prompt = no
req_extensions = v3_req

[usr ]
C = GR
L = Thessaloniki
O = Aristotle University of Thessaloniki
OU = School of Mathematics
CN = www.math.auth.gr

[ v3_req ]
subjectAltName = DNS:www.math.auth.gr

 

Ειδικά για την περίπτωση που θέλετε να αιτηθείτε πιστοποιητικό για ιστοχώρο που φιλοξενείται στο hosted.auth.gr ο οποίος έχει URL της μορφής web.auth.gr, χρησιμοποιήστε το παρακάτω πρότυπο (όπου IT Center αντικαταστήστε με το αντίστοιχο OU της Μονάδας σας):

Δημιουργήστε με χρήση της openssl (έκδοση για Windows, το σημείο εγκατάστασης της openssl ενδεικτικά είναι C:\Program Files (x86)\GnuWin32\bin\openssl.exe), το ιδιωτικό κλειδί (προστατευμένο με κωδικό) το οποίο θα χρησιμοποιηθεί για το αίτημα ψηφιακού πιστοποιητικού και στη συνέχεια για τη χρήση του τελικού πιστοποιητικού. Η εντολή που πρέπει να εκτελέσετε ανοίγοντας το αρχείο openssl.exe είναι:
 
genrsa -aes256 -out server.key 2048
 
και το κλειδί θα δημιουργηθεί στο αρχείο server.key. Κατά τη δημιουργία του κλειδιού θα ζητηθεί να ορίσετε κωδικό προστασίας του.
 

Τοποθετήστε το αρχείο my.cnf που δημιουργήσατε στο Βήμα 3 στο φάκελο όπου εκτελείται η openssl (π.χ. C:\Program Files (x86)\GnuWin32\bin ).

Δημιουργήστε το αίτημα ψηφιακού πιστοποιητικού (Certificate Server Request) εκτελώντας στην openssl την εντολή:

req -new -key server.key -config my.cnf -out server.csr -sha256

Το αίτημα θα δημιουργηθεί στο αρχείο server.csr. Κατά τη δημιουργία θα σας ζητηθεί ο κωδικός προστασίας του κλεδιού που δημιουργήσατε στο παραπάνω Βήμα 4.

Ανοίξτε το αρχείο server.csr με ένα πρόγραμμα που διαβάζει απλό κείμενο ASCII (π.χ. notepad), αντιγράψτε τα περιεχόμενα του και επικολλήστε τα στο πεδίο Αίτηση σε μορφή PKCS10 της σελίδας αίτησης για έκδοση πιστοποιητικού. Τέλος, υποβάλετε την αίτηση.

Μόλις κατατεθεί η αίτηση, θα πρέπει να ελεγχθεί από κάποιον διαχειριστή και εφόσον εγκριθεί, θα εκδοθεί το νέο πιστοποιητικό και θα ενημερωθείτε με μήνυμα ηλεκτρονικού ταχυδρομείου για την έκδοση του πιστοποιητικού. Στο μήνυμα θα σας δοθεί σύνδεσμος για αποδοχή και παραλαβή του πιστοποιητικού.

Αν ο ιστοχώρος σας φιλοξενείται στην υποδομή hosted.auth.gr του ΚΗΔ, για την ενεργοποιήση SSL δείτε τις κατάλληλες οδηγίες.

 

 
Με εικόνες