Red Hat Linux 7.2: Официальное руководство по настройке Red Hat Linux | ||
---|---|---|
Назад | Глава 15. Настройка безопасного сервера Apache | Вперед |
Если вы устанавливали безопасный веб-сервер с помощью программы установку Red Hat Linux, случайный ключ и сертификат для проверки были сгенерированы автоматически и размещёны в соответствующих каталогах. Однако, до начала эксплуатации вашего безопасного сервера, вы должны сгенерировать свои собственные ключи и получить сертификат, подтверждающий подлинность вашего сервера.
Для работы вашего безопасного веб-сервера вам потребуется ключ и сертификат - это означает, что вы можете либо выдать себе сертификат самостоятельно, либо приобрести сертификат, подписанный центром сертификации. Чем же они будут отличаться?
Сертификат, подписанный центром сертификации, даёт вашему серверу два важных преимущества:
Обозреватели будут автоматически(обычно) распознавать сертификат и устанавливать безопасное соединение без подтверждения пользователя.
Когда центр сертификации выдаёт подписанный сертификат, он гарантирует подлинность организации, публикующей веб-страницы.
Если к безопасному серверу обращается множество пользователей, вашему веб-серверу потребуется сертификат, подписанный центром сертификации, чтобы пользователи могли рассчитывать на то, что веб-сайт действительно принадлежит данной организации. Перед тем как сертификат будет подписан, центр сертификации проверяет, является ли организация, запрашивающая сертификат, той, за кого себя выдаёт.
Большинство Web-обозревателей, поддерживающих SSL, содержат список центров сертификации, сертификатам которых они автоматически доверяют. Если обозреватель встречает сертификат, и центр сертификации, выдавший его, ему неизвестен, обозреватель запросит у пользователя подтверждение на установление соединения.
Вы можете сгенерировать самостоятельно подписанный сертификат для своего безопасного Web сервера, но не забывайте о том, что выданный себе сертификат не имеет всей функциональности сертификата, подписанного в центре сертификации. Выданный себе сертификат не будет автоматически приниматься обозревателями пользователей, кроме того, подписанный самостоятельно сертификат не предоставляет гарантий подлинности организации, предоставляющей веб-сайт. Сертификат, подписанный в центре сертификации даёт безопасному сервера две этих важных возможности. Если безопасный сервер будет использоваться в рабочем окружении, вероятно, вам понадобится сертификат, подписанный в центре сертификации.
Процесс получения сертификата в центре сертификации достаточно прост. Ниже приведено его краткое описание:
Создать пару ключей (открытый и закрытый) для шифрования.
Сформировать запрос на получение сертификата для открытого ключа. Сертификат будет содержать информацию о вашем сервере и компании, владеющей им.
Послать запрос на получение сертификата, вместе с документами, подтверждающими вашу подлинность, в центр сертификации. Здесь не будут приведены советы по выбору центра сертификации. Ваше решение может основываться на предыдущем опыте, или мнении ваших друзей или коллег, а может только на стоимости этой услуги.
Чтобы просмотреть список центров сертификации, подписи которых доверяет ваш обозреватель, нажмите кнопку Security (Безопасность) на панели инструментов вашего Обозревателя или значок замка в левой нижней части части, затем щелкните Signers (Центры сертификации). Вы также можете найти список центров сертификации в Интернет. Выбрав для себя центр сертификации, вы должны следовать указаниям этого центра, чтобы получить от него сертификат.
Когда центр сертификации проверит вашу подлинность, он вышлет вам цифровой сертификат.
Установите этот сертификат на вашем веб-сервера, после этого он сможет выполнять безопасные транзакции.
Как бы вы не получали сертификат - из центра сертификации, или сгенерировали самостоятельно, начинать следует с создания ключей. Обратитесь к разделу Генерация ключа за указаниями по созданию ключа.