Генерация ключа
Сначала, с помощью команды cd, перейдите в каталог /etc/httpd/conf. Удалите фиктивный ключ и сертификат, созданные во время установки, выполнив следующие команды:
rm ssl.key/server.key rm ssl.crt/server.crt |
Затем, вы должны создать собственный случайный ключ. Введите следующую команду:
make genkey |
На экране компьютера появится подобное сообщение:
umask 77 ; \ /usr/bin/openssl genrsa -des3 1024 > /etc/httpd/conf/ssl.key/server.key Generating RSA private key, 1024 bit long modulus .......++++++ ................................................................++++++ e is 65537 (0x10001) Enter PEM pass phrase: |
Вы должны ввести пароль. Для большей безопасности, ваш пароль должен содержать как минимум восемь символов, включать в себя цифры и/или специальные знаки, и не являться словом из словаря. Помните, регистр символов в пароле имеет значение.
 | Замечание |
|---|---|
Вам потребуется запомнить и вводить пароль при каждом запуске вашего безопасного веб-сервера, так что не забывайте его. |
Вам будет предложено ввести пароль повторно, чтобы подтвердить его правильность. Как только вы сделает это, будет создан файл server.key, содержащий ваш ключ.
Обратите внимание, если вы не хотите вводить пароль при каждом запуске вашего безопасного веб-сервера, вместо команды make genkey вы можете выполнить следующие две команды. Каждая команда должна располагаться в одной строке.
Выполните следующую команду:
/usr/bin/openssl genrsa 1024 > /etc/httpd/conf/ssl.key/server.key |
чтобы создать свой ключ. Затем выполните эту команду:
chmod go-rwx /etc/httpd/conf/ssl.key/server.key |
чтобы установить для этого ключа правильные разрешения.
Создав ключ с помощью этих команд, вы не должны будете вводить пароль для запуска своего безопасного веб-сервера.
 | Внимание |
|---|---|
Отключение пароля для веб-сервера представляет собой угрозу безопасности. НЕ рекомендуется отключать использование пароля на вашем безопасном веб-сервере. |
В зависимости от защищенности вашего компьютера, у вас могут возникнуть проблемы, связанные с отключением пароля. Например, если злоумышленник взломает систему безопасности UNIX на этом компьютере, он сможет получить ваш закрытый ключ (содержимое файла server.key). Этот ключ затем может быть использован для фальсификации веб-страниц, и компрометации вашего сервера.
Если безопасность UNIX на сервере поддерживается должным образом (все обновления и исправления операционной системы устанавливаются по мере их появления, ненужные или опасные службы отключены, и т. д.), пароль для безопасного веб-сервера может показаться излишним. Однако, так как ваш безопасный веб-сервер не должен перегружаться слишком часто, дополнительный уровень защиты, обеспечиваемый паролем, оправдывает эти неудобства, в большинстве случаев.
Файл server.key должен принадлежать пользователю root и не должен быть доступен другим пользователям. Сделайте резервную копию этого файла и сохраните её в безопасном, защищённом месте. Эта копию необходимо сохранить, так как если вы утеряете файл server.key, сформировав до этого с его помощью запрос на получение сертификата, ваш сертификат больше не будет работать и центр сертификации ничем не сможет вам помочь. В таком случае вы сможете только запросить (и оплатить) получение нового сертификата.
Если вы собираетесь приобрести сертификат в центре сертификации, перейдите к разделу Формирование запроса к центру сертификации на получение сертификата. Если вы самостоятельно выдаёте себе сертификат, перейдите к разделу Самостоятельное формирование сертификата.