sábado, 24 de noviembre de 2012

Zelan sortu SSL zertifikatuak FreeBSDn

FreeBSDn SSL zertifikatuak sortzea oso erraza da, eta horretarako, nola ez, ports sisteman laguntzaile baten bat topatuko dugu, gure kasuan script txiki bat, security/ssl-admin.


Beraz, instalatuko dugu:


 # cd /usr/ports/security/ssl-admin
 # make install clean

Port berak bukatzean abisua emango digu ssl-admin.conf fitxategia editatzeko ssl-admin lehenengo aldiz exekutatu baino lehen. Baliatuko gara ssl-admin.conf.default gure konfigurazio artxiboa sortzeko.


# cd /usr/local/etc/ssl-admin
# cp ssl-admin.conf.default ssl-admin.conf

Artxibo honetan gure lehenetsitako gakoaren konfigurazioa zehaztuko dugu. Fitxategiak itxura hau dauka:


 ## Set default values here.  
 #
 # The following values can be changed without affecting
 # your CA key.
 
 $ENV{'KEY_SIZE'} = "1024";
 $ENV{'KEY_DAYS'} = "3650";
 $ENV{'KEY_CN'} = "";
 $ENV{'KEY_CRL_LOC'} = "URI:http://CRL_URI";
 
 
 ## WARNING!!! ##
 # 
 # Changing the following values has vast consequences. 
 # These values must match what's in your root CA certificate.
 
 $ENV{'KEY_COUNTRY'} = "COUNTRY";
 $ENV{'KEY_PROVINCE'} = "STATE/PROVINCE";
 $ENV{'KEY_CITY'} = "CITY";
 $ENV{'KEY_ORG'} = "ORGANIZATION";
 $ENV{'KEY_EMAIL'} = 'EMAIL_ADDRESS';

  • KEY_SIZE: Gakoaren luzera, bits-etan, gutxienez 1024 bitekoa izan behar da, baina VPN baterako erabiltzeko asmoa badaukagu 2048 edo balio altuago bat ezarriko dugu.

  • KEY_DAYS: Zenbat egun iraunduko duen gure gakoak iraungi baino lehen. 

  • KEY_CN: Zertifikatuaren lehenetsitako Common Name, normalean hutsik uzten da, ssl-admin exekutatzean eskatuko baitigu.

  • KEY_CRL_LOC: Gure CRL (Certificate Revokation List) helbide publikoa. Ssl-admin momentuz ez da gai CRLa bidaltzeko beste sistema batera, baina honekin zertifikatu guztietan helbide hori gordeko dugu.


Behin ezarpenak gordeta, ssl-admin script-a exekutatuko dugu:

 # ssl-admin

Lehenengo aldiz exekutatzean CA root zertifikatu berria sortzeko eskatuko digu. Aurretik badugu kokapena ezartzeko aukera emango digu. Gure kasuan zertifikatu berri bat sortu beharko dugu ziurrenik. Kontuan izan behar dugu:


  • Zertifikatuko jabearen izenean ezin ditugu hutsuneak, letra larriak edo karaktere bereziak erabili

  • BETI babestu behar dugu gure CA zertifikatua pasahitzaz

  • Ohartuko gara aukera gehienak balio bat izango dutela. Balio hauek editatutako ssl-admin.conf fitxategikoak dira.

Behin sortuta gure CA root zertifikatu honelako menua ikusiko dugu:


 This program will walk you through requesting, signing,
 organizing and revoking SSL certificates.

 ssl-admin installed Sun Nov 25 16:02:33 CET 2012
 
 =====================================================
 #                  SSL-ADMIN                        #
 =====================================================
 Please enter the menu option from the following list:
 1) Update run-time options:
      Common Name: 
      Key Duration (days): 3650
      Current Serial #: 01
      Key Size (bits): 1024
      Intermediate CA Signing: NO
 2) Create new Certificate Request
 3) Sign a Certificate Request
 4) Perform a one-step request/sign
 5) Revoke a Certificate
 6) Renew/Re-sign a past Certificate Request
 7) View current Certificate Revokation List
 8) View index information for certificate.
 z) Zip files for end user.
 dh) Generate Diffie Hellman parameters.
 CA) Create new Self-Signed CA certificate.
 S) Create new Signed Server certificate.
 q) Quit ssl-admin
 
 Menu Item:

Agertzen diren aukerak ez dute azalpenik behar.

Publicado por en
Etiquetas: , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)