Home > Tárhely és domain kezelése > VPS > SSL tanúsítvány létrehozása

SSL tanúsítvány létrehozása

SSL tanústvánnyal még biztonságosabbá teheti a felhasználók és weboldala közti kommunikációt. Ráadásul a weboldal megbízhatósága is növekszik az egyértelműen azonosítható üzemeltető által.

Az SSL tanúsítványnak két fő funkciója van: 
  1. a látogató böngészője és a kiszolgáló közötti titkosított adatátvitelt biztosítja 
  2. erősíti a tárhely hitelességét
Az SSL tanúsítvány bármilyen olyan weboldal számára alkalmas, amelyen érzékeny adatok átvitele folyik - személyes adatok, hitelkártya számok, stb.

Easy mode

Nálunk is vásárolhat SSL tanúsítványt. Ebben az esetben a folyamat az Ön beavatkozása nélkül zajlik le. Elég a megrendelésnél megadni azt a domain nevet, amelyhez a tanúsítványt szeretné társítani. A megrendelés leadását és befizetését követő néhány órán belül telepítjük azt.

Az SSL tanúsítvány létrehozása sajátkezűleg

Ahhoz, hogy sajátkezűleg létre tudjon hozni egy SSL tanúsítványt, OpenSSL segédprogramra lesz szüksége. Szinte minden Linux disztribúcióbam már telepítve van ez a segédprogram. A Windows operációs rendszerhez a programot itt töltheti le.

A CSR és privát kulcs létrehozása

A privát kulcsot és a CSR-t (certificate signing request) a következő paranccsal tudja létrehozni: 

openssl req -out server.csr -new -newkey rsa:2048 -nodes -keyout server.key

(Az rsa:2084 paraméter a titikosító algorustmusról és a hozzá tartozó privát kulcs hosszáról beszél.)

Ez a parancs lépésekben néhány kérdést kér a weboldal üzemeltetőjével kapcsolatban. Az elemek többsége nem kötelező, viszont a hitelesítésszolgáltatók legalább az ország és város helyes kitöltését szokták kérni. Abban az esetben, hogy némelyik mezőt kihagyja, ezt a hitelesítésszolgáltató a szögletes zárójelek között lévő adatokkal tölti ki automatikusan.

Country Name (2 letter code) [AU]:HU
State or Province Name (full name) [Some-State]:Magyarország
Locality Name (eg, city) []:Budapest
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Azencegem
Organizational Unit Name (eg, section) []: 
Common Name (e.g. server FQDN or YOUR name) []:azendomainem.hu
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

A legfontosabb mező a Common Name, amelyben a pontos domain nevet szükséges megadni, amelyhez használni szeretné a tanúsítványt. Az egyszerű (nem Wildcard) tanúsítvány pontosan egy domain névhez érvényes, és így az azendomainem.hu domainhez kiállított tanúsítvány nem lesz érvényes például a blog.azendomainem.hu aldomainhez. A hitelesítésszolgáltatók  többsége a tanúsítvány kiállításánál az érvényes címek közé automatikusan elhelyezi az azendomainem.hu domainhez a www.azendomainem.hu-t is, viszont ezt ajánlatos a hitelesítésszolgáltatónál ellenőrizni.

A Wildcard tanúsítvány létrehozásához a Common name mezőbe a domaint *.azendomainem.hu alakban adja meg.

A folyamat befelyezése előtt az OpenSSL megkérdezi, hogy szeretné-e jelszóval védeni a privát kulcsot. Ebben az esetben a jelszavas védelem inkább káros: Mindegyik konfiguráció változtatás, szerver újraindítás után, újra megkéne adni ezt a jelszót. Osztott tárhely (The Hosting, Korlátlan tárhely) környezetben nem lehetséges a jelszóval védett privát kulcs használata.

Abban az esetben, ha egy jelszóval védett privát kulcsot hozott létre, a következő parancssal tudja a jelszóvédelmet eltávolítani: 

openssl rsa -in server.key -out nem_vedett_server.key

Az SSL tanúsítvány megszerzése a hitelesítés szolgáltatójától

A létrehozás után a CSR-t a hitelesítés szolgáltatónak szükséges küldeni, amely díjának fejében digitálisan aláírja azt. A letöltésnél több formátum között választhat. A listából válassza ki az  Apache2 (mod_ssl)-t és töltse le.

Abban az esetben, ha a hitelesítés szolgáltató egy tanúsítvány-láncot szolgáltat Önnek (más néven köztes bizonyítvány vagy köteg), töltse le ezt is.

A tanúsítvány működni fog a tanúsítvány-lánc nélkül is, viszont némelyik böngészők (főleg mobil böngészők) csak bizonyos hitelesítés szolgáltatókat ismernek fel és tanúsítvány-lánc nélkül nem biztos, hogy a tanúsítványt elismerik megbízhatóként.

Egy ún. self-signed tanúsítvány kiállítása

Egy saját ("self-signed") tanúsítvány létrehozása egy gyors és olcsó (= ingyenes) módja az SSL titkosításnak, a tesztoldalai és nem nyilvános alkalmazásai számára. Ez a tanúsítvany az adatátvitelnél ugyan védeni fogja az adatokat, viszont a weboldal látogatóit a böngésző figyelmeztetni fogja, hogy a tanúsítvány nem megbízható.

A self-signed tanúsítvány létrehozásához a következő parancsot használja:

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt


Troubleshooting


Abban az esetben, ha a tanúsítvány telepítésénél hiba keletkezik, győződjön meg róla, hogy a megfelelő tanúsítvány - kulcs párost használja. Abban az esetben, hogy a tanúsítvány - kulcs páros megfelelő, a következő 2 parancs eredménye meg kell hogy egyezzen.

openssl x509 -in server.crt -noout -modulus | openssl md5
(stdin)= b2f47cdbc8fb6c1b4b1e7a884bff3ced
openssl rsa -in server.key -noout -modulus | openssl md5
(stdin)= b2f47cdbc8fb6c1b4b1e7a884bff3ced

Ha bármilyen kérdése lenne, kérem nyugodtan forduljon ügyfélszolgálatunkhoz a helpdesk@webonic.hu e-mail címen.