Kuinka tulla omaksi varmenteeksi ja Secure Spiceworks - Miten

Kuinka tulla omaksi varmenteeksi ja Secure Spiceworks

Tämä How-To -toiminto olettaa, että haluat luoda itse allekirjoitetun sertifikaatin, jota käytetään Spiceworksissa suojaamaan se SSL: n kautta.
Tuloksena on sertifikaattitiedosto, jonka voit käyttää käyttäjien tietokoneisiin, jotka sisältävät sekä CA-varmenteen että CAL-sertifikaatin allekirjoittaman SSL-sertifikaatin, mikä tarkoittaa, että käyttäjät voivat muodostaa yhteyden SSL: n kautta saamatta varmennevirhettä ja ilman sitä joutua käyttämään rahaa asianmukaiseen todistukseen.

Ne soveltuvat vain LAN-ympäristöön, jossa voit käyttää niitä joko manuaalisesti tai GPO: n kautta, jos käytät niitä ulkoisesti suunnattua sivustoa varten, jokainen, joka ei ole asentanut CA-tunnistetta, saa varoitusviestin uusimmista selaimista.

8 vaihetta yhteensä

Vaihe 1: Asenna OpenSSL

Sertifikaattien luomiseksi meidän on käytettävä OpenSSL: ää, helpoin tapa käyttää OpenSSLiä on käyttää Cygwiniä, joka antaa meille linux-kaltaisen ympäristön Windowsissa, mikä antaa meille mahdollisuuden käyttää kaikkia linux-pohjaisia ​​oppaita, jotka sisältävät jotain menee väärin tai jos haluat luoda toisen tyyppisen varmenteen ja tarvitsee sen opas (useimmat OpenSSL-oppaat ovat Linuxille). Jos sinusta tuntuu rohkeasti, on saatavilla Windows OpenSSL: ää, mutta ne on konfiguroitava (kopio OpenSSL: stä toimitetaan myös Spiceworksin kanssa, mutta puuttuu kaikki sen kansiot ja konfigurointitiedostot, joten se ei ole ihanteellinen käytettäväksi tässä).

Cygwinin asentaja: http://www.cygwin.com/

Kun asennat Cygwinin, sinun täytyy kertoa, että se asentaa OpenSSL: n (älä huolehdi, jos unohdat, voit asentaa ja päivittää paketteja milloin tahansa uudelleen käynnistämällä asennusohjelman, kun saat pakettiluettelon vaiheessa haun OpenSSL: lle ja aseta se asennettavaksi)

Vaihe 2: Määritä OpenSSL

Olettaen, että käytät Cygwiniä, sinun on määritettävä OpenSSL ennen kuin jatkamme.
Selaa Cygwinin asennuskansioon ja luo sisäpuolelle seuraavat uudet kansiot (tämä voidaan tehdä Windowsissa normaalisti):

/ Etc / SSL / CA
/ Etc / SSL / varmenteet
/ Etc / SSL / crl
/ Etc / SSL / newcerts
/ Etc / ssl / yksityinen

Nyt meidän on kerrottava OpenSSL: lle näistä uusista kansioista muokkaamalla sitä tiedostoa /usr/ssl/openssl.cnf.

** Sinun täytyy käyttää ohjelmaa, kuten Notepad ++, jotta voit muokata tätä cnf-tiedostoa, koska Windows ajattelee, että kyseessä on pikavalintanäppäin ja voit avata sen tekstitiedostona. Olettaen, että olet asentanut Notepad ++: n, voit napsauttaa tiedostoa hiiren kakkospainikkeella ja avata tiedosto muokattavaksi avaamalla Notepad ++ -yhteysvalikossa. **

Suorita opensl.cnf: ssä seuraavat muutokset (Huomautus: nämä rivinumerot eivät välttämättä ole tarkkoja ja ne voivat muuttua OpenSSL-päivitysten avulla):

Linja 37: dir = / etc / ssl / # Missä kaikki pidetään
Linja 40: database = $ dir / CA / index.txt # tietokannan hakemistotiedosto.
Linja 45: todistus = $ dir / certs / cacert.pem # CA-varmente
Linja 46: serial = $ dir / CA / serial # Nykyinen sarjanumero
Linja 50: private_key = $ dir / private / cakey.pem # Yksityinen avain

Avaa Cygwin-ikkuna ja suorita seuraavat komennot:
sh -c "echo '01'> / etc / ssl / CA / sarja"
kosketa /etc/ssl/CA/index.txt

Vaihe 3: Luo CA-root-varmenne

Nyt voimme luoda CA-Root-varmenteen, jonka avulla voimme allekirjoittaa muita haluamiamme varmenteita, jolloin Windows voi nähdä todistuksemme kelvollisiksi, kun olemme asentaneet ne, koska se pystyy vahvistamaan ne sertifikaattisi, jonka luomme nyt .

Suorita Cygwin-ikkunassa seuraava:
cd ~ (tämä varmistaa, että olet kotihakemistossa, joka on / home / käyttäjänimesi, jos olet kirjautunut Windows-järjestelmänvalvojaksi, se on / home / Administrator)
openssl req -new -x509 -sextensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650

Noudata näyttöön tulevia ohjeita ja löydät kaksi tiedostoa kansiosta, yksi tiedosto nimeltä cakey.pem ja toinen cacert.pem.
Siirrä cakey.pem-tiedosto osoitteeseen / etc / ssl / private ja siirrä cacert.pem-tiedostoa / etc / ssl / certs.

Vaihe 4: Luo suojatut ja epävarmat avaimet

Nyt meidän on luotava avaimet, joita käytämme sertifikaatin allekirjoituspyyntöjemme luomiseen:

opensl genrsa -des3 -out server.key 1024

Suorita sitten:
openssl rsa -in server.key -out server.key.insecure
mv server.key server.key.secure
mv server.key.insecure server.key

Tämä jättää meidät kahteen tiedostoon, joista yksi on server.key.secure, joka sisältää yksityisen avaimen ja toisen kutsutun palvelimen.

Vaihe 5: Luo sertifikaatin allekirjoituspyyntö

Nyt olemme valmiita luomaan CSR: n Spiceworksin käyttämälle verkkotunnukselle, sitten yhdistämme CSR: n pääkäyttäjän CA: lle antamaan sertifikaatin asennettavaksi SpiceWorksiin.

openssl req -new -key-palvelin.key -out server.csr

Noudata näyttöön tulevia ohjeita, mutta kun kysytään yhteistä nimeä, käytä Spiceworksin käyttämää verkkotunnusta (esimerkiksi jos SW toimii spiceworks.domain.com -sivustossa, niin tätä käytettäisiin Common Name -kentässä).

Tämä luo tiedoston nimeltä server.csr.

Vaihe 6: Luo ja allekirjoita uusi sertifikaatti

Nyt meillä on voimassa oleva Root CA-sertifikaatti ja CSR CS-verkkotunnukselle, jota haluamme käyttää, ja voimme allekirjoittaa sen ja luoda sertifikaatin, jota Spiceworks käyttää.

openssl ca -in /etc/ssl/certs/server.csr

Sinua pyydetään nyt luomaan salasana, jonka olet luonut, kun määrittelet Root CA -käyttöjärjestelmän, ja katso sitten tiedot, jotka olet syöttänyt CSR: ään. Vahvista, että tiedot ovat oikein, ja valitse sitten Y, kun haluat allekirjoittaa sertifikaatin, ja valitse sitten Y uudelleen.

Jos tarkastelet nyt tiedostoa / etc / ssl / newcerts, näet tiedoston, joka on nimeltään 01.pem (riippuen siitä, onko tämä ensimmäinen todistus vai ei, se voi olla suurempi numero).

Vaihe 7: Asenna sertifikaatti Spiceworksiin

Nyt meillä on allekirjoitettu varmenne, jonka voimme asentaa Spiceworksiin.
Spiceworks tallentaa SSL-sertifikaatit httpdsl-kansioon. Tämän sisällä pitäisi nähdä kaksi tiedostoa, molemmat .pem-laajennuksella.

** Tässä vaiheessa haluaisin ehdottaa kopion molemmista näistä tiedostoista vain siinä tapauksessa, että sinun täytyy palauttaa ja palauttaa ne. **

Avaa ssl-cert.pem-tiedosto Notepad ++ -ohjelmalla ja poista sen sisältö, kopioi uuden sertifikaatin sisältö /etc/ssl/newcerts/01.pem-tiedostosta, mutta älä kopioi kaikkea, haluamme vain alaosan mistä se alkaa ------ BEGIN CERTIFICATE -------.

Avaa ssl-private-key.pem-tiedosto ja poista sen sisältö uudelleen, kopioi tällä kertaa alkuperäisen CSR-tiedoston luomiseen käytetyn palvelinpainatiedoston sisältö.

Nyt on asennettu SSL-varmenne, jonka täytyy käynnistää Spiceworks uudelleen, jotta se voi ladata uuden sertifikaatin.
Nyt kun yrität käyttää Spiceworksia HTTPS: n kautta, saat silti sertifikaattivirheen, mutta jos tarkastelet varmenteen sisältöä, sinun pitäisi nyt nähdä, että se sisältää kaikki antamasi tiedot.

Vaihe 8: Asenna Root CA -sertifikaatti tietokoneeseen

Olemme nyt valmiita jakamaan alun perin luomamme uuden pääkäyttäjän CA: n, mutta ennen kuin voimme tehdä sen, meidän täytyy muuntaa se nopeasti muotoon, jonka Windows voi ymmärtää.

openssl x509 -cacert.pem -out cacert.crt: ssä

Kopioi .crt-tiedosto tietokoneeseesi ja napsauta hiiren kakkospainikkeella ja valitse Asenna, varmista, että asennat sen luotettavaan juurihyväksyntäviranomaisen säilöön tai muuten se ei toimi oikein.

Sulje lopuksi Internet Explorer ja avaa se uudelleen. Nyt sinun pitäisi pystyä selaamaan Spiceworksiin SSL: n kautta eikä saamaan virheitä tai varoituksia (IE: n pitäisi näyttää lukko-kuvake osoitepalkissa).

Olettaen, että olet tehnyt niin pitkälle ja kaikki toimii, olet valmis jakamaan uuden root-varmenteenne jokaiselle yrityksesi yritykselle, helpoin tapa tehdä tämä on ryhmäkäytännön kautta (sinun täytyy viedä uusi root-koodi uudelleen Windows kuitenkin toiseen muotoon, mutta kuitenkin jätän sen toiseen ohjeeseen.

Toivottavasti tämä ei ole ollut suurta lukemista ja on tehnyt jonkinlaista järkeä, jotta saisin tämän työn, minun on pitänyt vetää yhteen muutamia erilaisia ​​oppaita ja tehdä sitten vähän kokeilua itse.

Jos sinulla on kysyttävää, voit kysyä kommenteista, en SSL-asiantuntijaa, mutta yritän auttaa :)