Эта небольшая практическая заметка о том, как быстро создать сертификаты для установки связи по SSL c помощью OpenSSL и быстро настроить веб-сервер Apache+mod_ssl под FreeBSD для установки защищенного соединения.

Пытаясь настроить кодированное соединение по https-протоколу, чтобы просто не гонять пароли открытым текстом, столкнулась с проблемой — развитие документации, проработка удобства, и чарующая простота не являются свойствами этой технологии. Хотя, вроде все просто — есть дерево подписей и подписанный сертификат (грубо говоря — визитка сервера, с которым происходит соединение). Вы смотрите дерево подписей и сами думаете, доверяете вы этим подписям или нет. Или же у вас есть копия сертификата и вы сравниваете. В конце концов (и это требуется чаще всего) вам хочется не очень светиться эксклюзивными данными и вам все равно, какие там визитки. Эту простую задачу превратили в монстроидальный набор крючочков и ручечек. Мне понадобилась неделя чтобы, используя иногда по 3 статьи на разных языках одновременно, дойти до решения вопроса (у меня была задача номер три из моего списка :)

Создать конфигурацию виртуального сервера с возможностью подключения по HTTPS-протоколу для более менее безопасной передачи эксклюзиных данных (трафик будет шифроваться). Вопрос начального обмена ключами, который может повлиять на безопасность соединения я оставлю для самостоятельного изучения, как проблему выходящую за рамки этой статьи.

Используемые инструменты

В файле /etc/ssl/openssl.cnf надо проделать следующие изменения:

Я так и не нашла, как обойти эти вещи заданием ключей, так что придется править конфиг.

Для удобства, перейдем в каталог с конфигурацией Apache, где у меня располагаются подкаталоги с искомыми сертификатами:

Корневой сертификат является корнем дерева подписей и является, как бы, самой ГЛАВНОЙ подписью. Секретный ключ (он нужен для того, чтобы можно было воспользоваться вашим корневым сертификатом для подписи остальных) и сертификат создаются одной командой:

# openssl req -config /etc/ssl/openssl.cnf -new -x509 -keyout ssl.key/nemesida-ca.pem \

Вас спросят пароль — введите и запомните его. Все остальные поля заполняйте так, как вам подскажет сердце. Снимите пароль с ключа:

Если вы не сможете спасти этот ключ от посягательств, то и пароль вам не поможет. Что делает эта строка, я затрудняюсь ответить точно, но так сделать рекомендуют:

Вот и все — главная подпись, т.е. корневой сертификат, у вас есть. Он подписан сам собой.

Следующие действия, которые надо не забыть совершить, вызывают у меня бурный восторг. Следует создать два файла с некоторой индексной информацией, создать которые openssl не может, равно как и выдать разумное сообщение по этому поводу. Создадим индексный файл (ключевое слово database из openssl.cnf):

Создадим файл серийных номеров (ключевое слово serial из openssl.cnf):

Этот файл должен содержать две цифры (обязательно). Если вы ещё не создавали никаких сертификатов кроме корневого, файл должен содержать 01.

Создание сертификатов сервера состоит из процедуры создания запроса на попись, а затем подписания этого запроса в отличии от создания самоподписанного корневого сертификата. Создаем запрос на подпись нового сертификата и создаем секретный ключ к нему:

Вводя даные, учтите, что поле Common Name должно содержать полностью определенное доменное имя (FQDN) того сайта, где вы будете использовать https-протокол, чтобы броузеры не выдавали предупреждения о неверности имени. Снимите пароль с ключа:

Подпишите запрос (подписка запроса и есть создание нового сертификата) своим корневым сертификатом:

Подготовьте сертификат к использованию:

Создайте на всякий случай список запросов (там будут храниться и данные по отзывам подписей, если вам это когда-либо понадобится):

В файле httpd.conf (сами найдите ваш файл конфигурации) прописываем:

Вот собственно и все. Запускаете Apache и проверяете.

Пока вы не разберетесь в работе SSL, нельзя считать соединение безопасным. В данном случае представлен быстрый вариант настройки, не дающий никаких гарантий. Практически — это защита от дурака, которой тоже пренебрегать не следует.

Берегите секретные ключи — иначе вся эта мышиная возня не имеет смысла.

Поддержка виртуальных хостов «name based» возможна не в полном варианте — сертификат вы не сможете сделать различными для разных «name based» виртуальных хостов. Это связано с тем, что сначала устанавливается SSL-туннель, а затем по нему идет обмен данными, что определяет выбор сертификатов до получения HTTP-запроса.