26.6. Генерация ключа

Чтобы сгенерировать ключ, вы должны быть пользователем root.

Сначала, с помощью команды cd перейдите в каталог /etc/httpd/conf/. Удалите фиктивный ключ и сертификат, созданные во время установки, выполнив следующие команды:

rm ssl.key/server.key
rm ssl.crt/server.crt

Затем создайте свой собственный случайный ключ. Перейдите в каталог /usr/share/ssl/certs/ и введите следующую команду:

make genkey

На экране компьютера появляется примерно следующее:

umask 77 ; \
/usr/bin/openssl genrsa -des3 1024 > /etc/httpd/conf/ssl.key/server.key
Generating RSA private key, 1024 bit long modulus
.......++++++
................................................................++++++
e is 65537 (0x10001)
Enter pass phrase:

Теперь вы должны ввести секретную фразу. В целях безопасности ваш пароль должен содержать как минимум восемь символов, включать в себя цифры и/или специальные знаки, и не являться словом из словаря. Помните, в секретной фразе имеет значение регистр символов.

ЗамечаниеЗамечание
 

Вы должны запомнить эту секретную фразу и вводить её при каждом запуске своего безопасного сервера. Если вы забудете её, ключ потребуется сгенерировать заново.

Введите секретную фразу ещё раз, чтобы подтвердить её правильность. Если вы не допустите ошибок, будет создан файл /etc/httpd/conf/ssl.key/server.key, содержащий ваш ключ.

Обратите внимание, если вы не хотите вводить секретную фразу при каждом запуске вашего безопасного сервера, вместо команды make genkey можно выполнить следующие две команды.

Создать свой ключ с помощью следующей команды:

/usr/bin/openssl genrsa 1024 > /etc/httpd/conf/ssl.key/server.key

Затем назначить правильные права доступа к этому файлу, выполнив следующую команду:

chmod go-rwx /etc/httpd/conf/ssl.key/server.key

Если вы создадите ключ с помощью этих команд, вводить секретную фразу для запуска безопасного сервера не потребуется.

ВниманиеВнимание
 

Отключение запроса секретной фразы для сервера представляет собой угрозу безопасности. Отключать запрос секретной фразы для безопасного сервера не рекомендуется.

В зависимости от защищённости вашего компьютера, у вас могут возникнуть проблемы, связанные с отключением секретной фразы. Например, если злоумышленник взломает систему безопасности UNIX на этом компьютере, он сможет получить ваш закрытый ключ (содержимое файла server.key). Затем этот ключ может использоваться для фальсификации веб-страниц и компрометации вашего безопасного сервера.

Если безопасность UNIX на сервере поддерживается должным образом (все обновления и исправления операционной системы устанавливаются по мере их появления, ненужные или опасные службы отключены, и т. д.), может показаться, что секретная фраза для безопасного веб-сервера не нужна. Однако, так как ваш безопасный сервер не должен перегружаться слишком часто, дополнительный уровень защиты, обеспечиваемый паролем, в большинстве случаев оправдывает неудобство ввода секретной фразы.

Файл server.key должен принадлежать пользователю root и не должен быть доступен другим пользователям. Сделайте резервную копию этого файла и сохраните её в безопасном, защищённом месте. Эта копию необходимо сохранить, так как если вы утеряете файл server.key, сформировав до этого с его помощью запрос на получение сертификата, ваш сертификат больше не будет работать и центр сертификации ничем не сможет вам помочь. В таком случае вы сможете только запросить (и ещё раз оплатить) новый сертификат.

Если вы собираетесь приобрести сертификат в центре сертификации, перейдите к разделу 26.7 Формирование запроса к центру сертификации на получение сертификата. Если вы выдаёте себе сертификат самостоятельно, перейдите к разделу 26.8 Самостоятельное формирование сертификата.