Apoi, vom crea un certificat autosemnat care va identifica serverul pentru clienții noștri (vă rugăm să rețineți că această metodă nu este cea mai bună opțiune pentru mediile de producție; pentru o astfel de utilizare, vă recomandăm să cumpărați un certificat verificat de o a treia autoritate de certificare de încredere, cum ar fi DigiCert).
Pentru a crea un nou certificat conform NSS pentru caseta1 care va fi valabil pentru 365 zile, vom folosi genkey comanda. Când se finalizează acest proces:
# genkey --nss --days 365 box1.
Alege Următorul:
Puteți lăsa alegerea implicită pentru dimensiunea cheii (2048), atunci alege Următorul din nou:
Așteptați în timp ce sistemul generează biți aleatori:
Pentru a accelera procesul, vi se va solicita să introduceți text aleatoriu în consola dvs., așa cum se arată în următoarea screencast. Vă rugăm să rețineți cum se oprește bara de progres atunci când nu se recepționează nicio intrare de la tastatură. Apoi, vi se va cere:
1. Dacă trebuie să trimiteți Cerere semnare certificat (CSR) la o Autoritate certificată (CA): Alegeți Nu, deoarece acesta este un certificat autosemnat.
2. pentru a introduce informațiile pentru certificat.
În cele din urmă, vi se va solicita să introduceți parola la certificatul NSS pe care l-ați setat mai devreme:
# genkey --nss --days 365 box1.
În orice moment, puteți lista certificatele existente cu:
# certutil –L –d / etc / httpd / alias.
Și ștergeți-le după nume (numai dacă este strict necesar, înlocuind caseta 1 cu numele propriu al certificatului) cu:
# certutil -d / etc / httpd / alias -D -n "caseta1"
dacă trebuie .c
În cele din urmă, este timpul să testăm conexiunea securizată la serverul nostru web. Când vă îndreptați browserul către https: //, veți primi binecunoscutul mesaj „Conexiunea nu este de încredere“:
În situația de mai sus, puteți face clic pe Adăugați o excepție și apoi Confirmați excepția de securitate - dar nu o faceți încă. Să examinăm mai întâi certificatul pentru a vedea dacă detaliile acestuia se potrivesc cu informațiile pe care le-am introdus anterior (așa cum se arată în screencast).
Pentru a face acest lucru, faceți clic pe Vedere…–> Fila Detalii de mai sus și ar trebui să o vedeți când selectați Emitent din listă:
Acum puteți continua, confirmați excepția (fie pentru acest moment, fie permanent) și veți fi direcționat către serverul dvs. web DocumentRoot director prin https, unde puteți inspecta detaliile conexiunii folosind instrumentele de dezvoltator integrate ale browserului:
În Firefox îl puteți lansa făcând clic dreapta pe ecran și alegând Inspectează elementul din meniul contextual, în special prin Reţea filă:
Vă rugăm să rețineți că acestea sunt aceleași informații afișate anterior, care au fost introduse în timpul certificatului anterior. Există, de asemenea, o modalitate de a testa conexiunea utilizând instrumentele din linia de comandă:
În stânga (testare SSLv3):
# openssl s_client -connect localhost: 443 -ssl3.
În dreapta (testare TLS):
# openssl s_client -connect localhost: 443 -tls1.
Consultați captura de ecran de mai sus pentru mai multe detalii.
După cum sunt sigur că știți deja, prezența HTTPS inspiră încredere vizitatorilor care ar putea fi nevoiți să introducă informații personale pe site-ul dvs. (de la nume de utilizatori și parole până la informații financiare / bancare).
În acest caz, veți dori să obțineți un certificat semnat de o persoană de încredere Autoritate certificată după cum am explicat mai devreme (pașii de configurare sunt identici cu excepția pe care va trebui să o trimiteți CSR la o CA, și veți primi înapoi certificatul semnat); în caz contrar, va face un certificat autosemnat ca cel utilizat în acest tutorial.
Pentru mai multe detalii despre utilizarea NSS, vă rugăm să consultați ajutorul online despre mod-nss. Și nu ezitați să ne anunțați dacă aveți întrebări sau comentarii.