Každý web, který to s vašimi daty myslí vážně, komunikuje dnes již pouze zabezpečeně pomocí HTTPS. Pokud však používá certifikát, který si server vytvořil a podepsal sám, zobrazí se návštěvníkům v prohlížeči červená stránka s výstrahou a v tu chvíli nejspíše odejdou pryč.
V tomto návodu si ukážeme, jak získat certifikát podepsaný důvěryhodnou autoritou StartCom – https://www.startssl.com/ . Této autoritě věří Windows a tedy i téměř všechny prohlížeče a zařízení, na které si vzpomenete. Jednou velkou výhodou je, že vydání certifikátu pro danou doménu je zdarma.
Chcete-li s vydaným certifikátem podepisovat váš webový nebo e-mailový server, je vhodné vygenerovat žádost na daném serveru. Je potřeba mít nainstalované OpenSSL, což můžete provést příkazem:
sudo apt-get install openssl
Pro budoucí znovupoužití zadaných údajů je můžete předem vyplnit v konfiguračním souboru OpenSSL – otevřete:
vi /etc/ssl/openssl.cnf
a změňte údaje v příponou _default v sekci req_distinguished_name. Jde zejména o countryName_default, stateOrProvinceName_default, localityName_default a emailAddress_default.
Následuje vygenerování žádosti o certifikát. Certifikáty ukládám do /etc/postfix/ssl; složku si můžete zvolit jakoukoli.
mkdir -p /etc/postfix/ssl && cd /etc/postfix/ssl openssl req -out zadost.csr -new -newkey rsa:2048 -nodes -sha1 -keyout klic.key
Předem zadané údaje můžete odsouhlasit enterem. Důležité je však správně zadat hodnotu Common Name (e.g. server FQDN or YOUR name), kam vyplníte vaše celé doménové jméno (například mujserver.cesal.cz). Heslo nevyplňujte žádné.
Vytvořená žádost je uložena a vypíšete ji pomocí příkazu:
cat /etc/postfix/ssl/zadost.csr
Vypsaný text budeme potřebovat později.
Otevřete stránku https://www.startssl.com/?app=11&action=false , klepněte na „Express Lane“. Vyplňte požadované údaje, projděte registračním procesem a na konci se dostanete do Control Panelu. Zvolte záložku Certificates Wizard a zvolte Web Server SSL/TLS Certificate:
Následující krok „Generate Private Key“ přeskočte, protože jste si privátní klíč vygenerovali na serveru.
V dalším kroku „Submit Certificate Request (CSR)“ vložte obsah vaší žádosti (vypsaný text pomocí cat) včetně ——— na začátku a na konci.
Projděte další kroky formuláře, během kterých znovu zadáte celý doménový název vašeho serveru. Na konci v kroku „Save Certifiacate“ klepněte do zobrazeného pole a zkopírujte celý obsah včetně BEGIN a END CERTIFICATE (nejlépe pomocí CTRL+A a CTRL+C).
Zkopírovaný obsah uložte na server do souboru certifikat.crt. To je váš právě získaný důvěryhodný certifikát a můžete ho použít pro HTTPS nebo třeba podepsání mailového serveru. (Tento certifikát vám bude fungovat pro odesílání zpráv z GMailu, který dnes již nepodporuje vlastnoručně podepisované certifikáty).
Jako certifikát autority můžete použít tento certifikát (odkaz).