
===============================
Bruk av SSL-sertifikater på PVV
===============================

Lage ny nøkkel + sertifikat til en tjeneste
===========================================

1) Sjekk ut endringslageret til SSL. Det er viktig at dette går gjennom svn,
   siden det er et løpenummer på sertifikatene som genereres. Kjør:

   svn co https://dev.pvv.ntnu.no/svn/drift/ssl

2) Få tak i CA-nøkkelen. Denne lever i kryptosfæren, så du må få den tilsendt
   fra noen som har den. Spør drift. Om alt annet feiler, spør einarr. Nøkkelen
   skal plasseres i ca/key.pem under denne katalogen.

2b) FILEN MED NØKKELEN SKAL IKKE VÆRE LESBAR FOR ANDRE ENN DEG OM DU HAR DEN PÅ
    ET SYSTEM MED FLERE BRUKERE! CA-nøkkelen har samme sikkerhetsnivå som
    root-passord!

3) Rediger ca/extensions og legg inn et innslag for den nye nøkkelen for å sette
   verdier for den. Sett DNS:-verdier for både pvv.org og pvv.ntnu.no på alle
   tjenester. Bruk tjenestenavn eller annet egnet kort navn til innslaget i
   extensions-filen. F.eks. "smtp" for e-post-flyttenissen.

4) Kjør:

   make request

   for å lage en ny nøkkel og singeringsforespørsel. Bruk samme navn som du
   brukte i ca/extensions. Om du har brukt navnet smtp har makefilen nå laget
   filene key/smtp.pem og req/smtp.pem. Førstnevnte er den private nøkkelen 
   til tjenesten.

5) Kjør:

   make crt/smtp.pem extensions=smtp

   Dette ber om passordet til den CA-nøkkelen, som du skal ha fått sammen med
   nøkkelfilen. Kommandoen lager crt/smtp.pem som er sertifikatet til 
   tjenesten.

6) Kopier key/smtp.pem og crt/smtp.pem til maskinen som kjører tjenesten og
   installer dem der de skal være. Husk at key/smtp.pem er HEMMELIG, og bare
   skal være lesbar for brukeren tjenesten kjører som.

7) Kjør:
   
   svn ci

   for å sjekke inn igjen endringer til ca/serial (løpenummeret på
   sertifikatene) og ca/extensions.

   Du kan gjerne også legge til crt/smtp.pem, men det er ikke essensielt.


