Serverių sertifikatų paslauga
description
Transcript of Serverių sertifikatų paslauga
Serverių sertifikatų paslauga
Vytautas [email protected]
Pasitikėjimas
• Trys šalys– Sertifikato savininkas – sertifikate pateikia
informaciją apie save– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo užmokėsčio
Verisign $400 Comodo €34 (~$50) Digicert $115
Identrust $175 Ebizid $50 Entrust $160
Network Solutions $89 ProntoSSL £20 (~$40) Globalsign $140
QualitySSL €150 (~$220) RapidSSL $79 SecureSSL $100
SSL.com $250 Thawte $150 Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):– Sertifikatų pasirašymas bus nemokamas– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams– Galimas duomenų perimimas– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
• Terena ir Globalsign sutartis iki 2010 metų• LITNET šiais metais baigė prisijungimą• Neribotas sertifikatų kiekis organizacijoms• LITNET RA– http://scs.litnet.lt/– [email protected]
Darbo eiga
• Užregistruojama organizacija– Vieną kartą, prieš prašant sertifikatų
• Sukuriamas sertifikato CSR• Užpildoma sertifikato prašymo forma• Pasirašomas ir atsiunčiamas patvirtinimas• LITNET RA patikrina prašymą• Užsakovas informuojamas apie sertifikato
sukūrimą• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija– Mokslo ir tyrimų veikla– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas– Tik serverių sertifikatai– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis dokumentas
• Visi dokumentai atsiunčiami į LITNET RA• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS– OpenSSL
• Windows– OpenSSL– ISS Manager
CSR sukūrimas• OpenSSL konfigūracija
[ req ]default_bits = 2048prompt = noencrypt_key = nodefault_md = sha1distinguished_name = dn
[ dn ]C = LTO = Kauno technologijos universitetasCN = www.ktu.lt
# NEPRIVALOMOS EILUTĖSL = KaunasOU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas– Reikia atspausdinti– Pasirašyti– Atsiųsti LITNET RA• El. Paštu skenuotą• Faksu• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins• Jei nebus klaidų, užsakovas gaus sertifikatą• Galimos klaidos– Organizacijos ir domeno sąvininko nesutapimas– Lietuviškos raidės– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas– http://secure.globalsign.net/cacert/
sureserverEDU.pem
• Pavyzdys– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdysSSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį• Gal turite klausimų?