3:52:50) Danger: ono to zní možná složitě, ale jsou to 2 řádky :)
# generování klíče
openssl genrsa -out ca.key 1024
# generování serverového certifikátu
openssl req -new -key ca.key -out ca.csr
(13:52:54) Danger: to je vše :)
(13:53:03) Danger: vezmeš CSR a pošleš certifikační autoritě
(13:53:14) Danger: ta ho podepíše, vystaví ti CRT a hodíš ho spolu s KEY do apache
(13:53:36) martyn: hm :) no asi to ted udělám zatím na test https a zbytek se dodělá
(13:53:40) martyn: až to přijde
(13:53:44) martyn: jsou na to už netrpěliví
(13:53:56) Danger: rozjeď jim https jak jsem ti poslal ty dva řádky výše...
(13:54:45) Danger: tímhle:
openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt
si certifikát podepíšeš sám = bude se web tvářit jako nedůvěryhodný, ale pojede to přes https. Číslo 365 značí, že ho vystavuješ na 1 rok
(13:55:27) Danger: a potom ca.key a ca.crt hodíš do konfigurace apache..tam jak jsi psal:
SSLCertificateFile /cesta/k/vasemu/ca.crt
SSLCertificateKeyFile /cesta/k/vasemu/ca.key
(13:55:50) Danger: samozřejmě musíš změnit konfiguraci virtual hosta...místo :80 bude :443
(13:56:04) Danger: a udělat redirect...když někdo najede na http, aby to přesměrovalo na https
(13:56:05) martyn: ono to chce nějaké údaje, to je asi to, že to musí vyplnit přesně
(13:56:20) Danger: hlavní jsou údaje dva ...ty jsou podstatné
(13:56:22) Danger: hned ten první
(13:56:26) Danger: tam bude: CZ
(13:56:28) Danger: kód země
(13:56:31) Danger: a potom CN
(13:56:37) Danger: = Common name
(13:57:05) Danger: tam dej název domény...pro www.vojtaweb.cz bude CN: "vojtaweb.cz"
(13:57:21) Danger: musí to být taková doména, jaká má být šifrovaná
(13:58:00) Danger: ikdyž, u serverového je to vlastně jedno :) ...tu doménu tam musíš napsat u toho třetího řádku...jak generuješ CRT
(13:58:19) Danger: tam MUSÍ být CN jako doména
(14:00:00) Danger: virtual host vypadá nějak takhle:
<VirtualHost *:80>
ServerAdmin lkudlacek@mediaportsolutions.cz
ServerName moodlesab.mpu.cz
ServerAlias www.moodlesab.mpu.cz
Redirect / https://moodlesab.mpu.cz/
</VirtualHost>
<VirtualHost *:443>
SSLEngine on
SSLCertificateFile /etc/httpd/ssl/sab.cz/moodlesab.mpu.cz.crt
SSLCertificateKeyFile /etc/httpd/ssl/sab.cz/moodlesab.mpu.cz.key
<Directory /var/www/moodlesab>
AllowOverride All
</Directory>
ServerAdmin lkudlacek@mediaportsolutions.cz
DocumentRoot /var/www/moodlesab
ServerName moodlesab.mpu.cz
ServerAlias www.moodlesab.mpu.cz
# LogLevel Debug
# ErrorLog /var/log/httpd/mpu/error.log
# CustomLog /var/log/httpd/mpu/access.log common
</VirtualHost>
(14:00:10) Danger: je to i s redirectem s http na https
(14:00:14) Danger: * z
(14:00:28) Danger: jenom změň cesty a domény
(14:05:16) Danger: ten vygenerovaný cert s koncovkou *.crt si zkontroluj:
openssl x509 -in ca.crt -text
zajímají tě hlavně ty horní řádky:
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=US, O=GeoTrust, Inc., CN=RapidSSL CA
Validity
Not Before: Jan 14 14:36:07 2013 GMT
Not After : Apr 18 04:02:21 2014 GMT
Subject: serialNumber=pife6rF3I/CUA-4kgB7nZDM-aBEGT43p, OU=GT13239432, OU=See www.rapidssl.com/resources/cps (c)13, OU=Domain Control Validated - RapidSSL(R), CN=appdevelopers.cz
(14:06:14) Danger: říká to, že vydavatel certifikátu je RapidSSL (certifikační autorita, která ten cert vydala)... CN=RapidSSL CA
A vydala ho doméně appdevelopers.cz: CN=appdevelopers.cz
(14:17:10) Danger: web se ti ale bude tvářit samozřejmě jako nedůvěryhodný, pač sis ten cert podepsal ty sám..pak ale jen zaměníš klíč a crt a bude to ok
(15:14:37) martyn: poslali mi tuto adresu
(15:14:38) martyn: https://tcs.cesnet.cz/crt/?id=1369825573
(15:14:46) martyn: ale že se to ještě musí nějak schvalovat
(15:19:10) Danger: jj, to je certifikační autorita...tam vložíš ten serverový cert a na základě něj ti vystaví cert pro konkrétní doménu