![Τρόπος αποκλεισμού και κατάργησης αποκλεισμού επαφών στο Gmail](/f/94bfeaeff501c5689dae13c4a100896d.png?width=100&height=100)
Στη συνέχεια, θα δημιουργήσουμε ένα αυτο-υπογεγραμμένο πιστοποιητικό που θα προσδιορίζει τον διακομιστή στους πελάτες μας (σημειώστε ότι αυτή η μέθοδος δεν είναι η καλύτερη επιλογή για περιβάλλοντα παραγωγής. για τέτοια χρήση, μπορεί να θέλετε να αγοράσετε ένα πιστοποιητικό που έχει επαληθευτεί από μια τρίτη αξιόπιστη αρχή πιστοποίησης, όπως π.χ. DigiCert).
Για να δημιουργήσετε ένα νέο πιστοποιητικό συμβατό με το NSS για κουτί 1 που θα ισχύει για 365 ημέρες, θα χρησιμοποιήσουμε το τζίνκι εντολή. Όταν ολοκληρωθεί αυτή η διαδικασία:
# genkey --nss --days 365 box1.
Επιλέγω Επόμενο:
Μπορείτε να αφήσετε την προεπιλεγμένη επιλογή για το μέγεθος κλειδιού (2048), στη συνέχεια επιλέξτε Επόμενο πάλι:
Περιμένετε έως ότου το σύστημα παράγει τυχαία bit:
Για να επιταχύνετε τη διαδικασία, θα σας ζητηθεί να εισαγάγετε τυχαίο κείμενο στην κονσόλα σας, όπως φαίνεται στο παρακάτω screencast. Λάβετε υπόψη πώς σταματά η γραμμή προόδου όταν δεν λαμβάνεται είσοδος από το πληκτρολόγιο. Στη συνέχεια, θα σας ζητηθεί να:
1. Αν θα σταλεί το Αίτημα υπογραφής πιστοποιητικού (ΕΚΕ) σε α Αρχή έκδοσης πιστοποιητικών (CA): Επιλέξτε Οχι, καθώς πρόκειται για αυτο-υπογεγραμμένο πιστοποιητικό.
2. για εισαγωγή των πληροφοριών για το πιστοποιητικό.
Τέλος, θα σας ζητηθεί να εισαγάγετε τον κωδικό πρόσβασης στο πιστοποιητικό NSS που ορίσατε νωρίτερα:
# genkey --nss --days 365 box1.
Ανά πάσα στιγμή, μπορείτε να παραθέσετε τα υπάρχοντα πιστοποιητικά με:
# certutil –L –d/etc/httpd/alias.
Και διαγράψτε τα κατ 'όνομα (μόνο εάν απαιτείται αυστηρά, αντικαθιστώντας το πλαίσιο 1 με το δικό σας όνομα πιστοποιητικού) με:
# certutil -d/etc/httpd/alias -D -n "box1"
αν χρειαστεί.γ
Τέλος, ήρθε η ώρα να δοκιμάσουμε την ασφαλή σύνδεση με τον διακομιστή ιστού μας. Όταν κατευθύνετε το πρόγραμμα περιήγησής σας προς https: //, θα λάβετε το γνωστό μήνυμα "Η σύνδεση δεν είναι έμπιστη“:
Στην παραπάνω κατάσταση, μπορείτε να κάνετε κλικ στο Προσθήκη εξαίρεσης και μετά Επιβεβαίωση εξαίρεσης ασφαλείας - αλλά μην το κάνεις ακόμα. Ας εξετάσουμε πρώτα το πιστοποιητικό για να δούμε αν τα στοιχεία του ταιριάζουν με τις πληροφορίες που καταχωρίσαμε νωρίτερα (όπως φαίνεται στο screencast).
Για να το κάνετε αυτό, κάντε κλικ στο Θέα…–> Καρτέλα Λεπτομέρειες παραπάνω και θα πρέπει να το δείτε όταν επιλέγετε Εκδότης από τη λίστα:
Τώρα μπορείτε να προχωρήσετε, να επιβεβαιώσετε την εξαίρεση (είτε αυτή τη στιγμή είτε μόνιμα) και θα μεταφερθείτε στον διακομιστή ιστού σας DocumentRoot κατάλογος μέσω https, όπου μπορείτε να ελέγξετε τα στοιχεία σύνδεσης χρησιμοποιώντας τα ενσωματωμένα εργαλεία προγραμματιστή του προγράμματος περιήγησής σας:
Σε Firefox μπορείτε να το ξεκινήσετε κάνοντας δεξί κλικ στην οθόνη και επιλέγοντας Επιθεωρήστε το στοιχείο από το μενού περιβάλλοντος, συγκεκριμένα μέσω του Δίκτυο αυτί:
Λάβετε υπόψη ότι πρόκειται για τις ίδιες πληροφορίες με τις προηγούμενες, οι οποίες είχαν εισαχθεί κατά τη διάρκεια του πιστοποιητικού προηγουμένως. Υπάρχει επίσης ένας τρόπος για να δοκιμάσετε τη σύνδεση χρησιμοποιώντας εργαλεία γραμμής εντολών:
Αριστερά (δοκιμή SSLv3):
# openssl s_client -connect localhost: 443 -ssl3.
Στα δεξιά (δοκιμή TLS):
# openssl s_client -connect localhost: 443 -tls1.
Ανατρέξτε στο παραπάνω στιγμιότυπο οθόνης για περισσότερες λεπτομέρειες.
Όπως είμαι σίγουρος ότι γνωρίζετε ήδη, η παρουσία του HTTPS εμπνέει εμπιστοσύνη στους επισκέπτες που ίσως χρειαστεί να εισαγάγουν προσωπικά στοιχεία στον ιστότοπό σας (από ονόματα χρηστών και κωδικούς πρόσβασης μέχρι τη χρηματοοικονομική / τραπεζική πληροφορία).
Σε αυτή την περίπτωση, θα θελήσετε να λάβετε ένα πιστοποιητικό υπογεγραμμένο από έναν έμπιστο Αρχή έκδοσης πιστοποιητικών όπως εξηγήσαμε νωρίτερα (τα βήματα για να το ρυθμίσετε είναι πανομοιότυπα με την εξαίρεση που θα χρειαστεί να στείλετε το ΕΚΕ σε α CA, και θα πάρετε πίσω το υπογεγραμμένο πιστοποιητικό) Διαφορετικά, ένα αυτο-υπογεγραμμένο πιστοποιητικό όπως αυτό που χρησιμοποιείται σε αυτό το σεμινάριο θα κάνει.
Για περισσότερες λεπτομέρειες σχετικά με τη χρήση του NSS, ανατρέξτε στην ηλεκτρονική βοήθεια σχετικά με mod-nss. Και μη διστάσετε να μας ενημερώσετε εάν έχετε οποιεσδήποτε ερωτήσεις ή σχόλια.