LESMEG inneholder instruksjoner for å lage nye sertifikater til tjenester.
This commit is contained in:
57
ssl/LESMEG
Normal file
57
ssl/LESMEG
Normal file
@@ -0,0 +1,57 @@
|
||||
|
||||
===============================
|
||||
Bruk av SSL-sertifikater på PVV
|
||||
===============================
|
||||
|
||||
Lage ny nøkkel + sertifikat til en tjeneste
|
||||
===========================================
|
||||
|
||||
1) Sjekk ut endringslageret til SSL. Det er viktig at dette går gjennom svn,
|
||||
siden det er et løpenummer på sertifikatene som genereres. Kjør:
|
||||
|
||||
svn co https://dev.pvv.ntnu.no/svn/drift/ssl
|
||||
|
||||
2) Få tak i CA-nøkkelen. Denne lever i kryptosfæren, så du må få den tilsendt
|
||||
fra noen som har den. Spør drift. Om alt annet feiler, spør einarr. Nøkkelen
|
||||
skal plasseres i ca/key.pem under denne katalogen.
|
||||
|
||||
2b) FILEN MED NØKKELEN SKAL IKKE VÆRE LESBAR FOR ANDRE ENN DEG OM DU HAR DEN PÅ
|
||||
ET SYSTEM MED FLERE BRUKERE! CA-nøkkelen har samme sikkerhetsnivå som
|
||||
root-passord!
|
||||
|
||||
3) Rediger ca/extensions og legg inn et innslag for den nye nøkkelen for å sette
|
||||
verdier for den. Sett DNS:-verdier for både pvv.org og pvv.ntnu.no på alle
|
||||
tjenester. Bruk tjenestenavn eller annet egnet kort navn til innslaget i
|
||||
extensions-filen. F.eks. "smtp" for e-post-flyttenissen.
|
||||
|
||||
4) Kjør:
|
||||
|
||||
make request
|
||||
|
||||
for å lage en ny nøkkel og singeringsforespørsel. Bruk samme navn som du
|
||||
brukte i ca/extensions. Om du har brukt navnet smtp har makefilen nå laget
|
||||
filene key/smtp.pem og req/smtp.pem. Førstnevnte er den private nøkkelen
|
||||
til tjenesten.
|
||||
|
||||
5) Kjør:
|
||||
|
||||
make crt/smtp.pem extensions=smtp
|
||||
|
||||
Dette ber om passordet til den CA-nøkkelen, som du skal ha fått sammen med
|
||||
nøkkelfilen. Kommandoen lager crt/smtp.pem som er sertifikatet til
|
||||
tjenesten.
|
||||
|
||||
6) Kopier key/smtp.pem og crt/smtp.pem til maskinen som kjører tjenesten og
|
||||
installer dem der de skal være. Husk at key/smtp.pem er HEMMELIG, og bare
|
||||
skal være lesbar for brukeren tjenesten kjører som.
|
||||
|
||||
7) Kjør:
|
||||
|
||||
svn ci
|
||||
|
||||
for å sjekke inn igjen endringer til ca/serial (løpenummeret på
|
||||
sertifikatene) og ca/extensions.
|
||||
|
||||
Du kan gjerne også legge til crt/smtp.pem, men det er ikke essensielt.
|
||||
|
||||
|
||||
Reference in New Issue
Block a user