Bagaimana Menjadi Pihak Berkuasa Sijil Sendiri dan Spiceworks Selamat - Bagaimana Untuk

Bagaimana Menjadi Pihak Berkuasa Sijil Sendiri dan Spiceworks Selamat

How-To ini mengandaikan bahawa anda ingin membuat Sijil Diri Sendiri untuk digunakan dalam Spiceworks untuk mengamankannya melalui SSL.
Hasilnya akan menjadi fail sijil yang boleh anda gunakan untuk pengguna komputer anda yang mengandungi kedua-dua Sijil CA Root dan Sijil SSL yang ditandatangani oleh Sertifikat CA anda yang bermaksud bahawa pengguna akan dapat menyambung melalui SSL tanpa menerima kesalahan perakuan dan tanpa itu perlu membelanjakan wang pada sijil yang betul.

Ini hanya sesuai untuk digunakan dalam persekitaran LAN di mana anda boleh menggunakannya sama ada secara manual atau melalui GPO, jika anda menggunakannya untuk tapak luaran yang dihadapi maka sesiapa sahaja yang tidak dipasang CA Cert akan menerima mesej amaran dari kebanyakan penyemak imbas moden.

8 langkah total

Langkah 1: Pasang OpenSSL

Untuk membuat sijil kami, kami perlu menggunakan OpenSSL, cara paling mudah untuk menggunakan OpenSSL adalah dengan menggunakan Cygwin yang memberikan kita linux seperti persekitaran di dalam Windows, ini memberikan kita manfaat untuk dapat menggunakan semua panduan berasaskan linux memasangkan sesuatu salah atau jika anda ingin menghasilkan jenis sijil yang berbeza dan memerlukan panduan untuknya (kebanyakan panduan OpenSSL adalah untuk Linux). Jika anda merasa berani ada Windows membina OpenSSL yang tersedia tetapi mereka perlu mengkonfigurasi (salinan OpenSSL juga dihantar dengan Spiceworks sendiri tetapi ia hilang semua folder dan fail confignya supaya tidak sesuai digunakan di sini).

Pemasang Cygwin: http://www.cygwin.com/

Apabila anda memasang Cygwin, anda perlu memberitahunya untuk memasang OpenSSL (jangan risau jika anda terlupa, anda boleh memasang dan mengemas kini pakej pada bila-bila masa dengan menjalankan semula program persediaan, apabila anda sampai ke senarai peringkat pakej mencari OpenSSL dan tetapkannya untuk memasang)

Langkah 2: Konfigurasi OpenSSL

Dengan mengandaikan bahawa anda menggunakan Cygwin, anda perlu mengkonfigurasi OpenSSL sebelum kita meneruskan.
Semak imbas ke folder pemasangan Cygwin anda dan dalam membuat folder baru berikut (ini boleh dilakukan di Windows seperti biasa):

/ etc / ssl / CA
/ etc / ssl / certs
/ etc / ssl / crl
/ etc / ssl / newcerts
/ etc / ssl / private

Sekarang kita perlu memberitahu OpenSSL tentang folder baru ini dengan mengedit fail config di /usr/ssl/openssl.cnf.

** Anda perlu menggunakan program seperti Notepad ++ untuk mengedit fail cnf ini memandangkan Windows fikir ia adalah pintasan laju dan tidak membenarkan anda membukanya sebagai fail teks. Dengan mengandaikan bahawa anda memasang Notepad ++, anda boleh klik kanan pada fail dan menggunakan Buka dengan Notepad + + menu konteks untuk membuka fail untuk mengedit. **

Dalam openssl.cnf membuat perubahan berikut (Nota: nombor baris ini mungkin tidak tepat dan boleh berubah dengan kemas kini OpenSSL):

Baris 37: dir = / etc / ssl / # Di mana semua disimpan
Baris 40: pangkalan data = $ dir / CA / index.txt # fail indeks pangkalan data.
Baris 45: sijil = $ dir / certs / cacert.pem # Sijil CA
Line 46: serial = $ dir / CA / siri # Nombor siri semasa
Baris 50: private_key = $ dir / private / cakey.pem # Kunci persendirian

Buka tetingkap Cygwin dan jalankan arahan berikut:
sh -c "echo '01'> / etc / ssl / CA / serial"
sentuh /etc/ssl/CA/index.txt

Langkah 3: Menjana Sijil Akar CA

Sekarang kita boleh menghasilkan sijil CA Root yang boleh kita gunakan untuk menandatangani mana-mana sijil lain yang kami suka, ini akan membolehkan Windows melihat sijil kami sebagai sah apabila kami memasangnya kerana ia akan dapat mengesahkannya terhadap sijil Root yang kami buat sekarang .

Dalam tetingkap Cygwin jalankan yang berikut:
cd ~ (ini akan memastikan anda berada dalam direktori rumah anda yang akan menjadi / rumah / Nama Pengguna anda, misalnya jika anda log masuk ke Windows sebagai Pentadbir itu akan menjadi / home / Administrator)
openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650

Ikut arahan pada skrin dan anda perlu mencari dua fail dalam folder, satu fail yang dipanggil cakey.pem dan yang lain dipanggil cacert.pem.
Pindahkan fail cakey.pem ke / etc / ssl / private dan pindahkan cacert.pem ke / etc / ssl / certs.

Langkah 4: Menjana Kunci Secure dan Tidak Selamat

Sekarang kita perlu menjana kunci yang akan kami gunakan untuk menghasilkan Permintaan Menandatangani Sijil kami:

openssl genrsa -des3 -out server.key 1024

Kemudian jalankan:
openssl rsa -in server.key -out server.key.insecure
server.key server.key.secure mv
server.key.key.insecure server.key

Ini meninggalkan kami dengan dua fail, satu yang dipanggil server.key.secure yang mengandungi kunci persendirian kami dan server.key yang dipanggil lain yang mengandungi kunci awam kami.

Langkah 5: Menjana Permintaan Menandatangani Sijil

Sekarang kami bersedia untuk menghasilkan CSR untuk domain yang Spiceworks akan digunakan, kami kemudian menggabungkan CSR dengan root CA untuk memberi kami sijil untuk dipasang di SpiceWorks.

openssl req -new -key server.key -out server.csr

Ikut paparan pada skrin tetapi apabila diminta untuk Nama Biasa menggunakan domain yang Spiceworks akan digunakan (contohnya jika SW dijalankan pada spiceworks.domain.com maka inilah yang akan kita gunakan dalam medan Nama Biasa).

Ini akan menghasilkan fail bernama server.csr.

Langkah 6: Menjana dan Tanda Sijil baru

Kini kami mempunyai Sijil CA Root sah dan CSR untuk domain yang kami mahu gunakan kami boleh menandatangani dan membuat sijil yang Spiceworks akan digunakan.

openssl ca -in /etc/ssl/certs/server.csr

Anda kini akan diminta untuk frasa laluan yang anda buat semasa anda menyiapkan Root CA dan kemudian melihat butiran yang anda masukkan ke dalam CSR. Sahkan bahawa butiran adalah betul dan kemudian pilih Y untuk menandatangani sijil dan kemudian Y lagi untuk melakukannya.

Sekiranya anda melihat / etc / ssl / newcerts anda akan melihat fail yang dipanggil sesuatu seperti 01.pem (bergantung kepada sama ada ini adalah perakuan pertama anda atau tidak mungkin nombor yang lebih tinggi).

Langkah 7: Pasang Sijil Spikeworks

Kini kami mempunyai sijil yang ditandatangani yang boleh kami pasangkan ke Spiceworks.
Spiceworks menyimpan sijil SSL dalam folder httpd sslnya. Di dalam ini anda perlu melihat dua fail, kedua-duanya dengan sambungan .pem.

** Pada ketika ini saya akan mencadangkan membuat salinan kedua-dua fail ini sekiranya anda perlu menggulung dan memulihkannya. **

Buka fail ssl-cert.pem menggunakan Notepad ++ dan padamkan kandungannya, ke dalam fail ini salin kandungan sijil baru anda dari fail /etc/ssl/newcerts/01.pem, namun jangan copy semuanya, kami hanya mahu bahagian bawah dari mana ia bermula ------ BEGIN SIJIL -------.

Buka fail ssl-private-key.pem dan sekali lagi, padamkan kandungannya, kali ini menyalin kandungan fail server.key yang anda gunakan untuk menghasilkan CSR asal.

Kini kami mempunyai sijil SSL yang terpasang yang anda perlukan untuk memulakan semula Spiceworks untuk memuatkan sijil baru.
Sekarang apabila anda cuba mengakses Spiceworks melalui HTTPS, anda masih akan menerima ralat Sijil tetapi jika anda melihat kandungan sijil anda kini harus melihat bahawa ia mengandungi semua butiran yang anda masukkan.

Langkah 8: Pasang Root CA Certificate pada PC anda

Kami kini bersedia untuk mengedarkan Root CA baharu yang kami buat pada permulaan tetapi sebelum kami dapat melakukannya, kami perlu mengubahnya dengan cepat menjadi format yang dapat difahami oleh Windows.

openssl x509 -in cacert.pem -out cacert.crt

Salin fail .crt ke PC anda dan klik kanan dan pilih Pasang, pastikan anda memasangnya ke Kedai Awam Certified Root Certified atau tidak akan berfungsi dengan betul.

Akhir sekali, tutup Internet Explorer dan buka semula, kini anda kini dapat melayari pemasangan Spiceworks anda melalui SSL dan tidak menerima sebarang ralat atau amaran (IE harus memaparkan ikon padlock dalam bar alamat).

Dengan mengandaikan bahawa anda telah membuatnya sejauh ini dan semuanya berfungsi, anda sudah siap untuk mengedarkan Sijil Root CA baru anda kepada setiap PC di syarikat anda, cara yang paling mudah untuk melakukannya ialah melalui Dasar Kumpulan (anda perlu mengeksport semula Root CA baharu dari Windows ke dalam format yang berbeza untuk melakukan ini walaupun), tetapi saya akan meninggalkan itu ke Cara lain-lain.

Mudah-mudahan ini belum banyak dibaca dan telah membuat sedikit akal, untuk mendapatkan kerja ini saya terpaksa menarik beberapa panduan yang berbeza dan kemudian melakukan sedikit percubaan diri saya.

Sekiranya anda mempunyai sebarang pertanyaan, jangan ragu untuk bertanya di dalam komen, tidak ada pakar SSL tetapi saya akan cuba dan membantu :)