210 likes | 342 Views
Serverių sertifikatų paslauga. Vytautas Krakauskas vytautas@litnet.lt. Pasitikėjimas. Trys šalys Sertifikato savininkas – sertifikate pateikia informaciją apie save Sertifikatų tarnyba (CA) – patvirtina, kad sertifikato informacija teisinga
E N D
Serverių sertifikatų paslauga Vytautas Krakauskas vytautas@litnet.lt
Pasitikėjimas • Trys šalys • Sertifikato savininkas – sertifikate pateikia informaciją apie save • Sertifikatų tarnyba (CA) – patvirtina, kad sertifikato informacija teisinga • Klientas – naudojasi sertifikato savininko paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA • Eilės sertifikatų tarnybų (CA) sertifikatai pateikiami kartu su programomis • Šios tarnybos už sertifikatų patvirtinimą prašo užmokėsčio
Sava CA • Galima sukurti savo sertifikatų tarnybą (CA): • Sertifikatų pasirašymas bus nemokamas • Klientai turės importuoti šios tarnybos sertifikatus
Nežinoma CA • Dažnai naudojama SSL sujungimams • Galimas duomenų perimimas • Perspėjimai vartotojams arba atsisakymas užmegsti sesiją
Nežinoma CA • Firefox 3
Nežinoma CA • IE7
Serverių sertifikatų paslauga (SCS) • Terena ir Globalsign sutartis iki 2010 metų • LITNET šiais metais baigė prisijungimą • Neribotas sertifikatų kiekis organizacijoms • LITNET RA • http://scs.litnet.lt/ • scs-ra@litnet.lt
Darbo eiga • Užregistruojama organizacija • Vieną kartą, prieš prašant sertifikatų • Sukuriamas sertifikato CSR • Užpildoma sertifikato prašymo forma • Pasirašomas ir atsiunčiamas patvirtinimas • LITNET RA patikrina prašymą • Užsakovas informuojamas apie sertifikato sukūrimą • Sertifikatas įdiegiamas
Reikalavimai • Organizacija • Mokslo ir tyrimų veikla • Prijungta prie LITNET tinklo • Sertifikatų naudojimas • Tik serverių sertifikatai • Negali būti naudojami financinėms operacijoms atlikti
Naujos organizacijos registracija • Dokumentai • Įgaliojimas (šabloną rasite http://scs.litnet.lt/) • Kartu nurodomi įgaliotiniai • Organizacijos egzistavimą patvirtinantis dokumentas • Visi dokumentai atsiunčiami į LITNET RA • Turi būti sukurtas scs-ra@organizacija.lt adresas
CSR sukūrimas • Unix/Linux/Mac OS • OpenSSL • Windows • OpenSSL • ISS Manager
CSR sukūrimas • OpenSSLkonfigūracija [ req ]default_bits = 2048prompt = noencrypt_key = nodefault_md = sha1distinguished_name = dn[ dn ]C = LTO = Kauno technologijos universitetasCN = www.ktu.lt# NEPRIVALOMOS EILUTĖSL = KaunasOU = Informaciniu technologiju pletros institutas
CSR sukūrimas • opensslreq -new -config myserver.cnf -keyout myserver.key -out myserver.csr
Patvirtinimas • El. Paštu atsiunčiamas patvirtinimas • Reikia atspausdinti • Pasirašyti • Atsiųsti LITNET RA • El. Paštuskenuotą • Faksu • Paprastupaštu
Patikrinimas • LITNET RA gautą prašymą patikrins • Jei nebus klaidų, užsakovas gaus sertifikatą • Galimos klaidos • Organizacijos ir domeno sąvininko nesutapimas • Lietuviškos raidės • Asmuo neįgaliotas
Sertifikato diegimas • Tarpinis CA sertifikatas • http://secure.globalsign.net/cacert/sureserverEDU.pem • Pavyzdys • https://pastas.vgtu.lt/ • Apache konfigūracijospavyzdys SSLCertificateFile myserver.crt SSLCertificateKeyFile myserver.key SSLCertificateChainFile sureserverEDU.pem
Pabaiga • Ačiū už dėmesį • Gal turite klausimų?