Як стати власною службою сертифікації і безпечною Spiceworks - Як

Як стати власною службою сертифікації і безпечною Spiceworks

Це How-To припускає, що ви хочете створити Self Signed Certificate для використання в Spiceworks, щоб захистити його за допомогою SSL.
Результатом буде файл сертифіката, який можна розгорнути на комп'ютерах користувачів, що містять як кореневий сертифікат CA, так і сертифікат SSL, підписаний сертифікатом CA, що означає, що користувачі зможуть підключатися через SSL без отримання помилки сертифіката і без витрачати гроші на належний сертифікат.

Вони підходять тільки для використання в середовищі ЛОМ, де ви можете розгорнути їх або вручну, або через GPO, якщо ви використовуєте їх для зовнішнього сайту, то будь-хто без встановленого CA Cert отримає попередження від більшості сучасних браузерів.

Загалом 8 кроків

Крок 1: Встановіть OpenSSL

Щоб створити наші сертифікати, нам потрібно використовувати OpenSSL, найпростіший спосіб використовувати OpenSSL - це використання Cygwin, що дає нам середовище, подібне до Linux, всередині Windows, це дає нам вигоду використовувати всі підручники на основі linux. виходить помилково або якщо ви хочете створити інший тип сертифіката і вам потрібен довідник (більшість довідників OpenSSL призначені для Linux). Якщо ви відчуваєте себе хоробрими, є наявні Windows-версії OpenSSL, але вони потребують налаштування (копія OpenSSL також постачається разом із Spiceworks, але в ній відсутні всі її папки та конфігураційні файли, тому це не ідеально для використання тут).

Інсталятор Cygwin: http://www.cygwin.com/

Коли ви встановлюєте Cygwin, вам потрібно повідомити йому про встановлення OpenSSL (не хвилюйтеся, якщо ви забудете, ви можете встановити і оновити пакети в будь-який час, знову запустивши програму встановлення, коли ви потрапите на список списків пакетів пошуку для OpenSSL і встановити його для встановлення)

Крок 2. Налаштуйте OpenSSL

Припускаючи, що ви використовуєте Cygwin, вам потрібно налаштувати OpenSSL, перш ніж продовжити.
Перейдіть до інсталяційної папки Cygwin, а всередині створіть такі нові папки (це можна зробити в Windows як звичайно):

/ etc / ssl / CA
/ etc / ssl / certs
/ etc / ssl / crl
/ etc / ssl / newcerts
/ etc / ssl / private

Тепер нам потрібно повідомити OpenSSL про ці нові папки, редагувавши файл конфігурації в /usr/ssl/openssl.cnf.

** Для редагування цього файлу cnf потрібно використовувати програму, подібну до програми Notepad ++, оскільки Windows вважає, що це швидкісне скорочення і не дозволяє відкривати її як текстовий файл. Якщо ви встановили Notepad ++, ви можете клацнути правою кнопкою миші на файлі і використовувати контекстне меню Open with Notepad ++, щоб відкрити файл для редагування. **

У openssl.cnf внесіть такі зміни (Примітка: ці номери рядків можуть бути неточними і можуть змінюватися за допомогою оновлень OpenSSL):

Рядок 37: dir = / etc / ssl / # Де все зберігається
Рядок 40: база даних = $ dir / CA / index.txt # індексний файл бази даних.
Рядок 45: certificate = $ dir / certs / cacert.pem # Сертифікат ЦС
Рядок 46: serial = $ dir / CA / serial # Поточний серійний номер
Рядок 50: private_key = $ dir / private / cakey.pem # Закритий ключ

Відкрийте вікно Cygwin і виконайте наступні команди:
sh -c "echo '01'> / etc / ssl / CA / serial"
торкніться /etc/ssl/CA/index.txt

Крок 3: Створення кореневого сертифіката CA

Тепер ми можемо генерувати сертифікат кореневої системи CA, який ми можемо використовувати для підписання будь-яких інших сертифікатів, які нам подобаються, це дозволить Windows бачити наші сертифікати як допустимі після їх встановлення, оскільки вони зможуть перевірити їх на кореневий сертифікат, який ми створюємо зараз .

У вікні Cygwin виконайте такі дії:
cd ~ (це гарантує, що ви знаходитесь у вашому домашньому каталозі, який буде / home / ваше ім'я користувача, наприклад, якщо ви ввійшли до Windows як адміністратор, то він буде / home / Administrator)
openssl req -new -x509 -розширення v3_ca -ключ cakey.pem -out cacert.pem -days 3650

Дотримуйтесь інструкцій на екрані, і ви повинні знайти два файли в папці, один файл називається cakey.pem, а інший - cacert.pem.
Перемістіть файл cakey.pem у файл / etc / ssl / private і перемістіть файл cacert.pem в / etc / ssl / certs.

Крок 4: Створення безпечних і небезпечних ключів

Тепер нам потрібно створити ключі, які ми будемо використовувати для створення наших запитів на підписання сертифіката:

openssl genrsa -des3 -out server.key 1024

Потім запустіть:
openssl rsa -in server.key -out server.key.insecure
mv server.key server.key.secure
mv server.key.insecure server.key

Це залишає нам два файли, один з яких називається server.key.secure, що містить наш закритий ключ, а інший - server.key, що містить наш відкритий ключ.

Крок 5: Створення запиту на підписання сертифіката

Тепер ми готові генерувати CSR для домену, який Spiceworks буде використовувати, а потім об'єднаємо CSR з кореневим CA, щоб дати нам сертифікат для встановлення в SpiceWorks.

openssl req -new -key server.key -out server.csr

Дотримуйтесь наведених на екрані підказок, але, коли їх запитають про загальне ім'я, використовуйте домен, який буде використовувати Spiceworks (наприклад, якщо SW запускатиметься на spiceworks.domain.com, то це те, що ми будемо використовувати в полі Common Name).

Це створить файл з назвою server.csr.

Крок 6: Створення та підписання нового сертифіката

Тепер у нас є дійсний Сертифікат кореневого ЦС та CSR для домену, який ми хочемо використовувати, ми можемо підписати його та створити сертифікат, який буде використовувати Spiceworks.

openssl ca -in /etc/ssl/certs/server.csr

Тепер вам буде запропоновано парольну фразу, яку ви створили під час налаштування кореневого ЦС, а потім перегляньте деталі, введені в CSR. Переконайтеся, що дані є правильними, а потім виберіть Y, щоб підписати сертифікат, а потім Y знову, щоб здійснити його.

Якщо ви зараз подивитеся в / etc / ssl / newcerts, ви повинні побачити файл, що називається 01.pem (залежно від того, чи це ваш перший сертифікат, чи ні, це може бути більший номер).

Крок 7: Встановіть сертифікат у Spiceworks

Тепер у нас є підписаний сертифікат, який ми можемо встановити в Spiceworks.
Spiceworks зберігає свої SSL-сертифікати в папці httpd ssl. Всередині цього ви повинні побачити два файли, обидва з розширенням .pem.

** На даний момент я пропоную зробити копію обох цих файлів на всякий випадок, якщо вам потрібно повернути їх назад і відновити їх. **

Відкрийте файл ssl-cert.pem, використовуючи Notepad ++ і видаліть його вміст, в цей файл скопіюйте вміст вашого нового сертифіката з файлу /etc/ssl/newcerts/01.pem, але не копіюйте все, ми хочемо лише нижній розділ звідки вона починається ------ BEGIN CERTIFICATE -------.

Відкрийте файл ssl-private-key.pem і знову видаліть його вміст, цього разу скопіюйте вміст файлу server.key, який ви використовували для створення оригінального CSR.

Тепер у нас встановлено сертифікат SSL, щоб перезапустити Spiceworks для завантаження нового сертифіката.
Тепер, коли ви намагаєтеся отримати доступ до Spiceworks через HTTPS, ви все одно отримаєте помилку сертифіката, але якщо ви подивитеся на вміст сертифіката, ви побачите, що він містить усі введені вами відомості.

Крок 8. Встановіть сертифікат кореневого CA на ваш комп'ютер

Тепер ми готові поширювати нову кореневу CA, яку ми створили на початку, але перш ніж ми зможемо зробити це, нам потрібно швидко перетворити її у формат, який Windows може зрозуміти.

openssl x509 -в cacert.pem -out cacert.crt

Скопіюйте файл .crt на ваш комп'ютер і клацніть правою кнопкою миші та виберіть команду Встановити, переконайтеся, що ви встановили його у сховище довірених кореневих сертифікатів, інакше він не буде працювати правильно.

Нарешті закрийте Internet Explorer і знову відкрийте його, тепер ви зможете перейти до встановленої Spiceworks через SSL і не отримувати жодних помилок або попереджень (IE повинна відображати значок замка в адресному рядку).

Припускаючи, що ви зробили це так далеко, і все працює, ви готові поширювати свій новий сертифікат кореневого CA на кожний комп'ютер у вашій компанії. Найпростішим способом зробити це можна за допомогою групової політики (вам потрібно буде повторно експортувати новий кореневий CA з Windows в інший формат, щоб зробити це, хоча), однак я залишу, що в іншому How-To.

Сподіваюся, що це не було великим читанням і зробило якийсь сенс, щоб отримати цю роботу, мені довелося зібрати кілька різних посібників, а потім трохи експериментувати.

Якщо у вас є які-небудь питання, не соромтеся запитати в коментарях, я не експерт SSL, але я буду намагатися і допомогти :)