SSL: Różnice pomiędzy wersjami
| Linia 5: | Linia 5: | ||
Na serwerach ''MyDevil'' jest możliwość skorzystania z własnego certyfikatu bez prywatnego adresu IP za pomocą technologi SNI. Niestety nie jest ona [http://en.wikipedia.org/wiki/Server_Name_Indication#Web_browsers.5B6.5D. kompatybilna] ze wszystkimi starszymi przeglądarkami. | Na serwerach ''MyDevil'' jest możliwość skorzystania z własnego certyfikatu bez prywatnego adresu IP za pomocą technologi SNI. Niestety nie jest ona [http://en.wikipedia.org/wiki/Server_Name_Indication#Web_browsers.5B6.5D. kompatybilna] ze wszystkimi starszymi przeglądarkami. | ||
| + | === CSR === | ||
| + | Plik CSR (Certificate signing request) jest niezbędny do złożenia zamówienia i wystawienia certyfikatu SSL. | ||
| + | |||
| + | Aby wygenerować plik CSR należy zalogować się na konto, a następnie użyć polecenia <code>openssl req -new -nodes -newkey rsa:2048 -out req.pem -keyout cert.key</code>. Wygenerowany w ten sposób plik <code class="directory">req.pem</code> należy przesłać do firmy, która udostępni certyfikat. Plik <code class="directory">cert.key</code> jest potrzebny po stronie serwera. Należy go bezpiecznie przechowywać i nie udostępniać osobom trzecim. Jego zgubienie uniemożliwi instalację certyfikatu. | ||
| + | |||
=== Certyfikaty pośrednie === | === Certyfikaty pośrednie === | ||
| Linia 45: | Linia 50: | ||
Lista certyfikatów mailowych jest dostępna po wykonaniu polecenia <code>devil ssl mail</code>. | Lista certyfikatów mailowych jest dostępna po wykonaniu polecenia <code>devil ssl mail</code>. | ||
| − | + | ||
[[Category:WWW]] | [[Category:WWW]] | ||
Wersja z 17:07, 14 kwi 2015
SSL (ang. Server Name Indication) zapewnia poufność i integralność transmisji danych, a także uwierzytelnienie serwera, a niekiedy również klienta. Opiera się na szyfrowaniu asymetrycznym oraz certyfikatach X.509. Na serwerach MyDevil konfiguracja SSL odbywa się za pomocą panelu administracyjnego DevilWEB oraz polecenia devil ssl.
Spis treści
SNI
Na serwerach MyDevil jest możliwość skorzystania z własnego certyfikatu bez prywatnego adresu IP za pomocą technologi SNI. Niestety nie jest ona kompatybilna ze wszystkimi starszymi przeglądarkami.
CSR
Plik CSR (Certificate signing request) jest niezbędny do złożenia zamówienia i wystawienia certyfikatu SSL.
Aby wygenerować plik CSR należy zalogować się na konto, a następnie użyć polecenia openssl req -new -nodes -newkey rsa:2048 -out req.pem -keyout cert.key. Wygenerowany w ten sposób plik req.pem należy przesłać do firmy, która udostępni certyfikat. Plik cert.key jest potrzebny po stronie serwera. Należy go bezpiecznie przechowywać i nie udostępniać osobom trzecim. Jego zgubienie uniemożliwi instalację certyfikatu.
Certyfikaty pośrednie
Każda z przeglądarek ma swoją bazę zaufanych wystawców certyfikatów. Nowy wystawca zamiast czekać na aktualizację takiej bazy generuje certyfikat pośredni. Aby tak wydany certyfikat zadziałał należy je połączyć w jeden plik (SSL certificate chains). O kolejności ich połączenia powinien poinformować dostawca. Aby je połączyć należy wykonać polecenie cat domena.crt bundle1.crt bundle2.crt bundle3.crt (...) > domena.chained.crt. Certyfikat łączony domena.chained.crt należy połączyć z domeną.
Wymagania
Aby móc korzystać z SSL należy posiadać:
- wykupiony prywatny adres IP (tylko w przypadku nie korzystania z SNI),
- aktualny certyfikatu SSL oraz oraz niechroniony hasłem klucz.
DevilWEB
Po zalogowaniu się do panelu administracyjnego zarządzanie SSL znajduje się w zakładce SSL. Zarządzenie certyfikatami WWW znajduje się w zakładce WWW. W przypadku braku własnego adresu IP można skorzystać z SNI. Zarządzenie certyfikatami pocztowymi znajduje się w zakładce Poczta. Po kliknięciu przycisku Zarządzaj przy adresie IP wyświetli się lista certyfikatów dla tego adresu. Aby dodać certyfikat należy przejść do zakładki + Dodaj certyfikat. Należy wybrać plik certyfikatu, plik z kluczem oraz nazwę domeny na którą został wydany certyfikat.
Devil
Dodawanie i usuwanie certyfikatu WWW
Dodawanie certyfikatu do strony www odbywa się za pomocą polecenia devil ssl www add adres_ip certyfikat klucz [Nazwa domeny], gdzie argumentami są:
- adres_ip - prywatny adres IP użytkownika lub serwera WWW,
- certfikat - ścieżka do pliku z certyfikatem,
- klucz -ścieżka do pliku z kluczem SSL nie chronionego hasłem,
- [Nazwa domeny] - nazwa domeny do konfiguracji SNI.
Usuwanie certyfikatu WWW odbywa się za pomocą polecenia devil ssl www del adres_ip [Nazwa domeny]
Lista certyfikatów www
Lista certyfikatów jest dostępna po wykonaniu polecenia devil ssl list.
Dodawanie i usuwanie certyfikatu mailowego
Dodawanie certyfikatu mailowego odbywa się za pomocą polecenia devil ssl mail add adres_ip certyfikat klucz, gdzie argumentami są:
- adres_ip - prywatny adres IP użytkownika lub serwera WWW
- certfikat - ścieżka do pliku z certyfikatem
- klucz -ścieżka do pliku z kluczem SSL nie chronionego hasłem
Usuwanie certyfikatu mail odbywa się za pomocą polecenia devil ssl www mail adres_ip
Lista certyfikatów mailowych
Lista certyfikatów mailowych jest dostępna po wykonaniu polecenia devil ssl mail.
