Nu sunt administrator de sistem sau administrator de rețea (am un antecedente de dezvoltator de software). Întâmpin unele dificultăți încercând să urmez acest tutorial pentru a-l implementa Autentificare client SLL pe o versiune Ubuntu 20.04: https://www.makethenmakeinstall.com/2014/05/ssl-client-authentication-step-by-step/
Știu că acest tutorial este destul de vechi, dar pare să funcționeze bine, cu excepția unui singur punct.
Practic, am efectuat toți pașii indicați în tutorialul anterior. Le rezum aici, astfel încât să îmi puteți oferi și un feedback dacă înțeleg bine ce am făcut:
Generați un certificat de autoritate de certificare (CA): ca primul lucru, creez un certificat CA. Dacă înțeleg bine că este ceva de genul să-mi creez propria autoritate personală de certificare (cum ar fi cacert.org), singurul lucru este că în acest caz nu există nicio instituție care să valideze certificatele emise de această CA. Este corectă această înțelegere?
openssl req -newkey rsa:4096 -keyform PEM -keyout ca.key -x509 -days 3650 -outform PEM -out ca.cer
Practic, această comandă îmi va cere un frază de acces PEM pe care îl voi folosi pentru a interacționa cu propria mea CA și câteva detalii. Am pus acești parametri:
Vi se va cere să introduceți informații care vor fi încorporate
în cererea dvs. de certificat.
Ceea ce urmează să introduceți este ceea ce se numește un nume distinctiv sau un DN.
Există destul de multe câmpuri, dar puteți lăsa unele necompletate
Pentru unele câmpuri va exista o valoare implicită,
Dacă introduceți „.”, câmpul va rămâne necompletat.
-----
Numele țării (cod cu două litere) [AU]:IT
Numele statului sau al provinciei (numele complet) [Unele state]:.
Nume localitate (de exemplu, oraș) []:.
Numele organizației (de exemplu, companie) [Internet Widgits Pty Ltd]:Notariato
Numele unității organizaționale (de exemplu, secțiunea) []:.
Nume comun (de exemplu, FQDN al serverului sau numele DVS.) []:.*
Adresă de e-mail []:[email protected]
NOTĂ: în răspunsul anterior am pus un wildcard (*) pentru numele comun pentru a „ignora” unde vor fi folosite certificatele. Poate funcționa?
Deci această comandă generează un ca.cer fișier pe care îl voi folosi pentru a-mi genera serverele și certificatul de client.
I generează cheia SSL și certificatul meu pentru serverul Apache: acesta nu este încă certificatul de client (certificatul folosit de client pentru a spune serverului: „Sunt un client certificat !!!”), acesta este certificatul de server care îi spune clientului: „Sunt serverul corect , nu un om la mijloc”. Este corect?
Pentru a crea acest certificat de serer, mai întâi generez serverul cheie privată:
openssl genrsa -out server.key 4096
Apoi am folosit această cheie privată de server pentru a genera o solicitare de generare a certificatului.
openssl req -new -key server.key -out server.req -sha256
Tot aici imi cere niste parametri:
Vi se va cere să introduceți informații care vor fi încorporate
în cererea dvs. de certificat.
Ceea ce urmează să introduceți este ceea ce se numește un nume distinctiv sau un DN.
Există destul de multe câmpuri, dar puteți lăsa unele necompletate
Pentru unele câmpuri va exista o valoare implicită,
Dacă introduceți „.”, câmpul va rămâne necompletat.
-----
Numele țării (cod cu două litere) [AU]:IT
Numele statului sau al provinciei (numele complet) [Some-State]:.
Nume localitate (de exemplu, oraș) []:.
Numele organizației (de exemplu, companie) [Internet Widgits Pty Ltd]:Notariato
Numele unității organizaționale (de exemplu, secțiunea) []:.
Nume comun (de exemplu, FQDN server sau numele DVS.) []:*
Adresă de e-mail []:[email protected]
NOTĂ: tot aici am pus un wild card (*) pentru numele comun pentru a „ignora” unde vor fi folosite certificatele. Poate funcționa?
Apoi am folosit cererea de generare a certificatului și certificatul CA pentru a genera certificatul serverului:
openssl x509 -req -in server.req -CA ca.cer -CAkey ca.key -set_serial 100 -extensions server -days 1460 -outform PEM -out server.cer -sha256
Apoi încerc să instalez certificatul în Apache-ul meu prin:
Copiați certificatul CA într-un loc permanent. Va trebui să specificăm certificatul nostru CA în Apache, deoarece este un CA autogenerat și nu unul care este inclus în sistemele de operare de peste tot:
cp ca.cer /etc/ssl/certs/
Copiați certificatul serverului și cheia privată într-un loc permanent:
cp server.cer /etc/ssl/certs/server.crt
cp server.key /etc/ssl/private/server.key
Activați modulul SSL în Apache:
a2enmod ssl
Activați site-ul SSL în Apache și dezactivați site-ul HTTP:
a2ensite default-ssl
a2dissite implicit
Și acum obțin o problemă la ultima comandă, în urma rezultatelor ultimelor două comenzi:
andrea@ubuntu:~/cert$ a2ensite default-ssl
Site default-ssl deja activat
andrea@ubuntu:~/cert$ a2dissite implicit
EROARE: site-ul implicit nu există!
După cum puteți vedea când performez a2dissite implicit Obțin asta EROARE: site-ul implicit nu există! mesaj de eroare.
De ce? Ce înseamnă? Ce s-a întâmplat? Cum pot încerca să rezolv această eroare?
