Если вы устанавливали безопасный веб-сервер из RPM-пакета, предоставленного Red Hat, случайный ключ и сертификат для проверки автоматически генерируются и помещаются в соответствующие каталоги. Однако до начала эксплуатации вашего безопасного сервера, вы должны сгенерировать свои собственные ключи и получить сертификат, подтверждающий подлинность вашего сервера.
Для работы вашего безопасного сервера вам потребуется ключ и сертификат — это означает, что вы можете либо выдать себе сертификат самостоятельно, либо приобрести сертификат, подписанный центром сертификации. Чем же они будут отличаться?
Сертификат, подписанный центром сертификации, даёт вашему серверу два важных преимущества:
Браузеры автоматически принимают сертификат (обычно) и устанавливают безопасное соединение, не спрашивая пользователя.
Когда центр сертификации выдаёт подписанный сертификат, он гарантирует подлинность организации, публикующей в Интернете веб-страницы.
Если к безопасному серверу обращаются множество пользователей, вашему безопасному серверу потребуется сертификат, подписанный центром сертификации, чтобы посетители сайта, знали, что сайт действительно принадлежит данной организации. Перед тем как сертификат будет подписан, центр сертификации проверяет, является ли организация, запрашивающая сертификат, той, за кого себя выдаёт.
Большинство браузеров, поддерживающих SSL, содержат список центров сертификации, сертификатам которых они доверяют автоматически. Если обозреватель встречает сертификат, и центр сертификации, выдавший его, ему неизвестен, обозреватель предлагают пользователю либо принять, либо отклонить соединение.
Вы можете сгенерировать для своего безопасного сервера сертификат, выданный себе, но не забывайте о том, что такой сертификат не имеет всей функциональности сертификата, подписанного в центре сертификации. Выданный себе сертификат не будет автоматически приниматься браузерами пользователей, кроме того, подписанный самостоятельно сертификат не предоставляет гарантий подлинности организации, публикующей сайт. Сертификат, подписанный в центре сертификации, даёт безопасному серверу две этих важных возможности. Если вы используете безопасный сервер в безопасном окружении, рекомендуется применять сертификат, подписанный центром сертификации.
Процесс получения сертификата в центре сертификации достаточно прост. Ниже приведено его краткое описание:
Создать пару ключей (открытый и закрытый) для шифрования.
Сформировать запрос на получение сертификата для открытого ключа. Сертификат будет содержать информацию о вашем сервере и компании, владеющей им.
Послать запрос на получение сертификата вместе с документами, подтверждающими вашу подлинность, в центр сертификации. Red Hat не даёт никаких рекомендаций относительно того, какой центр сертификации выбирать. Ваше решение может основываться на предыдущем опыте или мнении ваших друзей и коллег, а может только на стоимости этой услуги.
Выбрав для себя центр сертификации, вы должны следовать указаниям этого центра, чтобы получить от него сертификат.
Когда центр сертификации проверит вашу подлинность, он предоставит вам цифровой сертификат.
Установите этот сертификат на вашем безопасном сервере, после этого он сможет осуществлять безопасные транзакции.
Как бы вы не получали сертификат — из центра сертификации, или сгенерировали самостоятельно, начинать следует с создания ключей. За инструкциями обратитесь к разделу 26.6 Генерация ключа.