Απόκτηση ψηφιακών πιστοποιητικών εξυπηρετητών ΑΠΘ με χρήση του openssl

Συνδεόμαστε τη σελίδα έκδοσης πιστοποιητικού διακομιστή με τον πλοηγό της προτίμησής μας, συμπληρώνουμε το πλήρες Internet όνομα Fully Qualified Domain Name (FQDN) του διακομιστή για τον οποίο επιθυμούμε να εκδώσουμε το πιστοποιητικό (πχ www.math.auth.gr) και πατάμε Επόμενο.

Η παραπάνω σελίδα απαιτεί πιστοποίηση ταυτότητας με το ψηφιακό πιστοποιητικό χρήστη, το οποίο θα μας ζητηθεί. Από τη σελίδα που εμφανίζεται σημειώνουμε το διακεκριμένο όνομα που μας παρουσιάζεται π.χ. "CN=www.math.auth.gr, OU=School of Mathematics, O=Aristotle University of Thessaloniki, L=Thessaloniki, C=GR".

Δημιουργούμε με το Notepad ένα αρχείο ρύθμισης με όνομα my.cnf, χρησιμοποιώντας κάτω από το τμήμα [usr] τα πεδία των ονομάτων όπως το διακεκριμένο όνομα που μας δόθηκε από τη σελίδα υποβολής αίτησης για έκδοση πιστοποιητικού διακομιστή.

ΠΡΟΣΟΧΗ : Κάτω από το τμήμα [v3_req], συμπληρώνουμε το πεδίο subjectAltName με το FQDN για το οποίο αιτούμαστε το πιστοποιητικό, ανεξάρτητα αν θέλουμε να έχει και επιπλέον FQDN.
 
Ακολουθεί ένα πρότυπο αρχείο "my.cnf" για το παράδειγμα του ιστοχώρου www.math.auth.gr:

[ req ]
default_bits = 2048
distinguished_name = usr
prompt = no
req_extensions = v3_req

[usr ]
C = GR
L = Thessaloniki
O = Aristotle University of Thessaloniki
OU = School of Mathematics
CN = www.math.auth.gr

[ v3_req ]
subjectAltName = DNS:www.math.auth.gr
Ειδικά για την περίπτωση που θέλουμε να αιτηθούμε πιστοποιητικό για ιστοχώρο που φιλοξενείται στο hosted.auth.gr ο οποίος έχει URL της μορφής web.auth.gr, χρησιμοποιούμε το παρακάτω πρότυπο :

[ req ]
default_bits = 2048
distinguished_name = usr
prompt = no
req_extensions = v3_req

[ usr ]
C = GR
L = Thessaloniki
O = Aristotle University of Thessaloniki
OU = *OrganizationalUnit (Μονάδα ΑΠΘ)*
0.OU = Hosted - Websites of AUTh Departments and Units
CN = FQDN1

[ v3_req ]
subjectAltName = DNS: FQDN1

 

Δημιουργούμε με χρήση της openssl (έκδοση για Windows, το σημείο εγκατάστασης της openssl ενδεικτικά είναι C:\Program Files (x86)\GnuWin32\bin\openssl.exe), το ιδιωτικό κλειδί (προστατευμένο με κωδικό) το οποίο θα χρησιμοποιηθεί για το αίτημα ψηφιακού πιστοποιητικού και στη συνέχεια για τη χρήση του τελικού πιστοποιητικού. Η εντολή που πρέπει να εκτελέσουμε ανοίγοντας το αρχείο openssl.exe είναι:
 
genrsa -aes256 -out server.key 2048
 
και το κλειδί θα δημιουργηθεί στο αρχείο server.key. Κατά τη δημιουργία του κλειδιού θα ζητηθεί να ορίσουμε κωδικό προστασίας του.
 

Τοποθετούμε το αρχείο my.cnf που δημιουργήσαμε στο Βήμα 3, στο φάκελο όπου εκτελείται η openssl (π.χ. C:\Program Files (x86)\GnuWin32\bin ).

Δημιουργούμε το αίτημα ψηφιακού πιστοποιητικού (Certificate Server Request) εκτελώντας στην openssl την εντολή:

req -new -key server.key -config my.cnf -out server.csr -sha256

Το αίτημα θα δημιουργηθεί στο αρχείο server.csr. Κατά τη δημιουργία θα μας ζητηθεί ο κωδικός προστασίας του κλεδιού που δημιουργήσαμε στο παραπάνω Βήμα 4.

Ανοίγουμε το αρχείο server.csr με ένα πρόγραμμα που διαβάζει απλό κείμενο ASCII (π.χ. notepad), αντιγράφουμε τα περιεχόμενα του και τα επικολλούμε στο πεδίο Αίτηση σε μορφή PKCS10 της σελίδας αίτησης για έκδοση πιστοποιητικού. Τέλος, επιλέγουμε Αιτούμαι.

ΠΡΟΣΟΧΗ : Σε περίπτωση που το αίτημα περιέχει πάνω από ένα FQDN ως Subject Alternative Name, η διαδικασία αλλάζει και χρειάζεται να το αποστείλουμε ως συνημμένο στην ηλεκτρονική διεύθυνση support@auth.gr. Το πιστοποιητικό θα εκδοθεί από τους διαχειριστές του ΚΗΔ και θα μας σταλεί με μήνυμα ηλεκτρονικού ταχυδρομείου.

 

Μόλις κατατεθεί η αίτηση, θα πρέπει να ελεγχθεί και να εγκριθεί από τους διαχειριστές του ΚΗΔ. Στη συνέχεια θα ενημερωθούμε με μήνυμα ηλεκτρονικού ταχυδρομείου για την έκδοση και την παραλαβή του πιστοποιητικού.

Αν ο ιστοχώρος μας φιλοξενείται στην υποδομή hosted.auth.gr του ΚΗΔ, για την ενεργοποίηση SSL πρωτοκόλλου, ακολουθούμε τις οδηγίες.

 
Με εικόνες