From ff453a1e406af691943d701183c6bd7396fe0482 Mon Sep 17 00:00:00 2001 From: einarr Date: Sat, 7 Aug 2010 20:38:53 +0000 Subject: [PATCH] =?UTF-8?q?LESMEG=20inneholder=20instruksjoner=20for=20?= =?UTF-8?q?=C3=A5=20lage=20nye=20sertifikater=20til=20tjenester.?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- ssl/LESMEG | 57 ++++++++++++++++++++++++++++++++++++++++++++++++++++++ 1 file changed, 57 insertions(+) create mode 100644 ssl/LESMEG diff --git a/ssl/LESMEG b/ssl/LESMEG new file mode 100644 index 0000000..324ad9a --- /dev/null +++ b/ssl/LESMEG @@ -0,0 +1,57 @@ + +=============================== +Bruk av SSL-sertifikater på PVV +=============================== + +Lage ny nøkkel + sertifikat til en tjeneste +=========================================== + +1) Sjekk ut endringslageret til SSL. Det er viktig at dette går gjennom svn, + siden det er et løpenummer på sertifikatene som genereres. Kjør: + + svn co https://dev.pvv.ntnu.no/svn/drift/ssl + +2) Få tak i CA-nøkkelen. Denne lever i kryptosfæren, så du må få den tilsendt + fra noen som har den. Spør drift. Om alt annet feiler, spør einarr. Nøkkelen + skal plasseres i ca/key.pem under denne katalogen. + +2b) FILEN MED NØKKELEN SKAL IKKE VÆRE LESBAR FOR ANDRE ENN DEG OM DU HAR DEN PÅ + ET SYSTEM MED FLERE BRUKERE! CA-nøkkelen har samme sikkerhetsnivå som + root-passord! + +3) Rediger ca/extensions og legg inn et innslag for den nye nøkkelen for å sette + verdier for den. Sett DNS:-verdier for både pvv.org og pvv.ntnu.no på alle + tjenester. Bruk tjenestenavn eller annet egnet kort navn til innslaget i + extensions-filen. F.eks. "smtp" for e-post-flyttenissen. + +4) Kjør: + + make request + + for å lage en ny nøkkel og singeringsforespørsel. Bruk samme navn som du + brukte i ca/extensions. Om du har brukt navnet smtp har makefilen nå laget + filene key/smtp.pem og req/smtp.pem. Førstnevnte er den private nøkkelen + til tjenesten. + +5) Kjør: + + make crt/smtp.pem extensions=smtp + + Dette ber om passordet til den CA-nøkkelen, som du skal ha fått sammen med + nøkkelfilen. Kommandoen lager crt/smtp.pem som er sertifikatet til + tjenesten. + +6) Kopier key/smtp.pem og crt/smtp.pem til maskinen som kjører tjenesten og + installer dem der de skal være. Husk at key/smtp.pem er HEMMELIG, og bare + skal være lesbar for brukeren tjenesten kjører som. + +7) Kjør: + + svn ci + + for å sjekke inn igjen endringer til ca/serial (løpenummeret på + sertifikatene) og ca/extensions. + + Du kan gjerne også legge til crt/smtp.pem, men det er ikke essensielt. + +