Ssl Certificate Gyártás
Hogyan kell önaláírt SSL tanúsítványt csinálni?
A publikus kulcsú titkosítás gyakori jelenség az interneten. Az SSL (és a TLS, ami az utódja) igazából két dologért felel:
- Azért, hogy a felhasználó megbizonyosodjon arról, hogy a szerver tényleg az, aminek mondja magát.
- Azért, hogy a felhasználó és a szerver közötti kapcsolat ne legyen lehallgatható, és
Példa: online bank ügyintézés.
- Amikor belépek a bank weboldalára, akkor nem szeretném, ha véletlenül egy imposztor úgy tegyen, mintha a bankom lenne, és én megadjam neki a belépéshez szükséges adatokat.
- Amikor belépek a bankba, akkor nem szeretném, hogy más lehallgassa a belépéshez szükséges adataimat, banki titkaimat, stb.
Az előbbi látszólag triviális: megnézem, hogy a böngészőm címsorában pl www.cib.hu van-e. Na de, sajnos nem ilyen egyszerű ez a nyamvadt élet: egyrészt lehet, hogy valaki a Vad Interneten megvágja a kábelt, beáll közém és a bank szervere közé, és a bank nevében válaszolgat. Sőt: az is előfordulhat, hogy a DNS-be piszkálnak bele (Domain Name Service, vagyis hogy a www.cib.hu végülis hol van), és eltérítenek a valódi www.cib.hu-tól egy rosszszándékú szerver irányába.
Nos, ezeknek a problémáknak (meg még néhány másiknak) a legyőzésére találták ki az SSL tanúsítványokat. Ezek egyszerre bizonyítják azt, hogy a www.cib.hu az, aminek mondja magát, és egyben a kriptografikus csatornát is lehetővé teszik. Az SSL tanúsítványt az ellenőrzés céljából egy úgynevezett Certificate Authority (tanúsítvány kiállító cég) digitálisan "aláírja". Így nem kell a www.cib.hu-nak elhinnem, hogy ő tényleg az; csupán azt kell elhinnem, hogy a Certificate Authority nem írná alá egy imposztor SSL kulcsát. (Amire pedig volt már példa, de ez most más történet.)
Jójó, de mi az hogy önaláírt tanúsítvány?
Ugye az SSL tanúsítvány megoldás egy problémára, ellenben ő maga is szül egy problémát: a tanúsítványt alá kell iratni a már említett Certificate Authority cégek egyikével. Ez idő, pénz és macera, ami közül egyikhez sem fűlik a fogam. Ráadásul, nem valószínű hogy valaki pont az apocalypse.rulez.org-ot akarná megszemélyesíteni, ugyanis szemben a bankokkal, itt igen kicsi a várható pénzbevétel.
Magyarán, az SSL áldásaiból csak a titkosítást szeretném, a bizonyításra nincs szükség.
Ilyenkor van az, hogy az ember saját maga írja alá önmaga SSL "tanúsítványát". Ettől a legtöbb böngésző vagy levelező progi berzenkedik: azt fogja mondani, hogy a tanúsítvány aláírójában ő nem bízik meg személy szerint. Hát ez van: a user rákattint arra, hogy azért menjen tovább a műsor, és ennyi.
Tanúsítvány készítése
Na végre! Először is, csinálni kell egy kamu Certificate Authority-t. Ez a következő parancsokkal lehetséges:
A tanúsítvány két részből áll: a kulcsból (key),
openssl genrsa -out apocalypse_certificate_authority.key 1024és a tanúsítványból (certificate)
openssl req -new -x509 -days 3650 -key apocalypse_certificate_authority.key -out apocalypse_certificate_authority.crt
Ezzel a kamu Certificate Authority-nk kész is van, már alá is írhatunk vele bármit, csak még nincs mit aláírnunk. Most megcsináljuk azt is, először a kulcsot:
openssl genrsa -out apocalypse.rulez.org.key 1024
A kulcshoz kell csinálunk egy CSR (Certificate Signing Request) file-t, amit normális esetben egy valódi Certificate Authority-nek küldünk el. Ebben írjuk le, hogy kik is vagyunk mi, mi a nevünk, hol élünk, stb. Az ebben található információt a Certificate Authority leellenőrzi, és ha hihetőnek találja, akkor szépen a saját Nagy Erejű Kulcsával aláírja majd nekünk a kulcsunkat. A CSR-ben több mező található, ebből a legfontosabb a Common Name: ezt a szerver nevet fogja majd a tanúsítványunk.... tanúsítani
openssl req -new -key apocalypse.rulez.org.key -out apocalypse.rulez.org.csr
Végül nagyvonalúan aláírjuk magunknak a saját kulcsunkat:
openssl x509 -req -days 3650 -sha1 -CAcreateserial \
-in apocalypse.rulez.org.csr \
-CA apocalypse_certificate_authority.crt \
-CAkey apocalypse_certificate_authority.key \
-out apocalypse.rulez.org.crt
És már kész is van! Most már meg tudod csinálni 5 perc alatt, amin én másfél órát szenvedtem...
InfoTéma
Főbb linkek
Műveletek
Egyebek
ShoutBox
- Grizli: el akarom küldeni de valahogy még nem sikeredett
Grizli: Egyszer volt, hol nem volt, még az Óperenciás tengeren is túl, még az Üveghegyen is túl, ahol a kurta farkú malac túr és ahol még a madár sem jár, szóval a távoli, ködös hegyek mögött, az égigérő hegy túloldalán, a kristályos messzeségben állt egy k
Grizli: a kristályos messzeségben állt egy kacsalábon forgó palota. Benne lakott egy király a három fiával. Egyik napon a legkisebb fiú kinyitotta a szobája abalakát, kinézett, majd így szólt:
Grizli: - Édesapám, de kurva messze lakunk mi.......
BNC: Zatz iz not fánny
BNC: Tel uas the jók
Grizli: jól előadva ez jó
UPi: Wenn ist das Nunnstück git und Slotermeyer? Ja! Beiherhund das Oder die Flipperwaldt gersput!
UPi: Ahhahahaaa!!
Descant: Visszatértem örvendjetek vala
Ulmar: Orvendunk
Grizli: Wir sind geörvendet
UPi: Des-cant, türüm - türüm, itt van a Des-cant.
BNC: http://hvg.hu/itthon/20120522_Fidesz_elozetes_regisztracio
BNC: http://images1.wikia.nocookie.net/__cb20120213055636/uncyclopedia/images/5/52/Double-facepalm.jpg
![[Valid RSS]](/Content/Images/valid-rss.png "Validate my RSS feed")
![[NO NAZISM!]](/Content/Images/nazi_garbage.gif)