Перейти к основному содержанию
Рецепты Linux

Main navigation

  • Основы
  • Система
  • Команды
  • Программы
  • Дистро
  • Интерфейсы
  • Устройства
  • Доки
User account menu
  • Войти

Строка навигации

  1. Главная
  2. Red Hat Enterprise Linux: Руководство по системному администрированию
  3. IV. Сетевая конфигурация
  4. Глава 26. Настройка безопасного HTTP-сервера Apache

26.6. Генерация ключа

Чтобы сгенерировать ключ, вы должны быть пользователем root.

Сначала, с помощью команды cd перейдите в каталог /etc/httpd/conf/. Удалите фиктивный ключ и сертификат, созданные во время установки, выполнив следующие команды:

rm ssl.key/server.key
rm ssl.crt/server.crt

Затем создайте свой собственный случайный ключ. Перейдите в каталог /usr/share/ssl/certs/ и введите следующую команду:

make genkey

На экране компьютера появляется примерно следующее:

umask 77 ; \
/usr/bin/openssl genrsa -des3 1024 > /etc/httpd/conf/ssl.key/server.key
Generating RSA private key, 1024 bit long modulus
.......++++++
................................................................++++++
e is 65537 (0x10001)
Enter pass phrase:

Теперь вы должны ввести секретную фразу. В целях безопасности ваш пароль должен содержать как минимум восемь символов, включать в себя цифры и/или специальные знаки, и не являться словом из словаря. Помните, в секретной фразе имеет значение регистр символов.

ЗамечаниеЗамечание
 

Вы должны запомнить эту секретную фразу и вводить её при каждом запуске своего безопасного сервера. Если вы забудете её, ключ потребуется сгенерировать заново.

Введите секретную фразу ещё раз, чтобы подтвердить её правильность. Если вы не допустите ошибок, будет создан файл /etc/httpd/conf/ssl.key/server.key, содержащий ваш ключ.

Обратите внимание, если вы не хотите вводить секретную фразу при каждом запуске вашего безопасного сервера, вместо команды make genkey можно выполнить следующие две команды.

Создать свой ключ с помощью следующей команды:

/usr/bin/openssl genrsa 1024 > /etc/httpd/conf/ssl.key/server.key

Затем назначить правильные права доступа к этому файлу, выполнив следующую команду:

chmod go-rwx /etc/httpd/conf/ssl.key/server.key

Если вы создадите ключ с помощью этих команд, вводить секретную фразу для запуска безопасного сервера не потребуется.

ВниманиеВнимание
 

Отключение запроса секретной фразы для сервера представляет собой угрозу безопасности. Отключать запрос секретной фразы для безопасного сервера не рекомендуется.

В зависимости от защищённости вашего компьютера, у вас могут возникнуть проблемы, связанные с отключением секретной фразы. Например, если злоумышленник взломает систему безопасности UNIX на этом компьютере, он сможет получить ваш закрытый ключ (содержимое файла server.key). Затем этот ключ может использоваться для фальсификации веб-страниц и компрометации вашего безопасного сервера.

Если безопасность UNIX на сервере поддерживается должным образом (все обновления и исправления операционной системы устанавливаются по мере их появления, ненужные или опасные службы отключены, и т. д.), может показаться, что секретная фраза для безопасного веб-сервера не нужна. Однако, так как ваш безопасный сервер не должен перегружаться слишком часто, дополнительный уровень защиты, обеспечиваемый паролем, в большинстве случаев оправдывает неудобство ввода секретной фразы.

Файл server.key должен принадлежать пользователю root и не должен быть доступен другим пользователям. Сделайте резервную копию этого файла и сохраните её в безопасном, защищённом месте. Эта копию необходимо сохранить, так как если вы утеряете файл server.key, сформировав до этого с его помощью запрос на получение сертификата, ваш сертификат больше не будет работать и центр сертификации ничем не сможет вам помочь. В таком случае вы сможете только запросить (и ещё раз оплатить) новый сертификат.

Если вы собираетесь приобрести сертификат в центре сертификации, перейдите к разделу 26.7 Формирование запроса к центру сертификации на получение сертификата. Если вы выдаёте себе сертификат самостоятельно, перейдите к разделу 26.8 Самостоятельное формирование сертификата.

Перекрёстные ссылки книги для 26.6. Генерация ключа

  • 26.5. Виды сертификатов
  • Вверх
  • 26.7. Формирование запроса к центру сертификации на получение сертификата

Book navigation

  • Введение
  • I. Вопросы, касающиеся установки
  • II. Файловые системы
  • III. Управление пакетами
  • IV. Сетевая конфигурация
    • Глава 18. Настройка сети
    • Глава 19. Основная настройка брандмауэра
    • Глава 20. Управление доступом к службам
    • Глава 21. OpenSSH
    • Глава 22. Сетевая файловая система (NFS)
    • Глава 23. Samba
    • Глава 24. Протокол динамической конфигурации узлов (DHCP)
    • Глава 25. Настройка HTTP-сервера Apache
    • Глава 26. Настройка безопасного HTTP-сервера Apache
      • 26.2. Обзор пакетов, связанных с безопасностью
      • 26.3. Обзор сертификатов и безопасности
      • 26.4. Использование существующих ключей и сертификатов
      • 26.5. Виды сертификатов
      • 26.6. Генерация ключа
      • 26.7. Формирование запроса к центру сертификации на получение сертификата
      • 26.8. Самостоятельное формирование сертификата
      • 26.9. Проверка сертификата
      • 26.10. Обращение к серверу
      • 26.11. Дополнительные ресурсы
    • Глава 27. Настройка проверки подлинности
  • V. Настройка системы
  • VI. Мониторинг системы
  • Выходные сведения

Последние материалы

  • Команда restore
    1 day ago
  • Файл sudoers
    1 week 1 day ago
  • Утилита visudo
    1 week 2 days ago
  • Файловый менеджер Thunar
    2 weeks 5 days ago
  • Эмулятор терминала Terminator
    3 weeks 3 days ago
RSS feed

Secondary menu

  • О проекте

© 2008–2025 Олег Меньшенин mensh@yandex.ru