Разработка динамических сайтов
SEO услуги
Управление контекстной рекламой

Вход на хостинг

Имя пользователя:*

Пароль пользователя:*

IT-новости

20.04.2016 iPhone 2017 года поместят в водонепроницаемый корпус из стекла

Линейка iPhone в новом году серьезно поменяется. В этом уверен аналитический исследователь Мин Чи Ку......

подробнее

30.07.2015 Ищем уникальный контент для сайта

Ищем уникальный контент для сайта Без уникального контента Ваш сайт обречен на то, что его страницы......

подробнее

11.05.2015 Распространённые ошибки разработчиков сайтов

Не секрет, что в сети Интернет насчитывается миллионы сайтов, и каждый день появляются тысячси новых......

подробнее

Практика OpenSSL


Всеволод Стахов

OpenSSL применяется во множестве сетевых серверов. В данной статье я бы хотел рассказать о работе с ssl Apache, постфикса и курьера. Соответственно происходит шифрация трафика http-, smtp- и imap(pop3)-протоколов. При использовании шифрации ssl обычно меняется порт, чтобы клиент мог корректно определить использование безопасного соединения. Для начала я расскажу об использовании ssl в апаче.

Apache может работать с ssl через модуль mod_ssl, который может быть скачан с www.apache-ssl.org. Для компиляции Apache с данным модулем выполняем следующее:

 

$ cd /usr/src/apache_1.3.x/src

$ SSL_BASE=/usr/src/mod_ssl/ ./configure -- ... --enable-module=ssl

После успешной компиляции необходимо получить сертификат организации. Тут есть два пути: первый – это создать self-signed сертификат, второй – получить сертификат от trusted root CA. Скорее всего, второй вариант будет не бесплатный, например, на www.thawte.com предлагают продать сертификат www-сервера за 160$ сроком действия на год. С другой стороны, такой способ обеспечивает полную безопасность клиента, т.к. он будет знать, что сертификат действителен. Обычно у браузеров есть набор trusted root CA, и когда браузер получает сертификат, подписанный одним из trusted ca, то он может корректно проверить подпись и решить на её основании о действительности сертификата www-сервера. Если же браузер получает self-signed сертификат, то он спрашивает у пользователя, можно ли доверять этому сертификату, т.к. в этом случае клиент не может точно определить, откуда к нему пришёл этот сертификат и не может проверить его подпись, т.к. она не входит в его trusted root CA. В качестве альтернативного варианта, если вы работаете с несколькими крупными клиентами, можно посоветовать принести каждому клиенту свой сертификат (например, на дискетке или компакте) и вручную добавить его в trusted root CA клиента. Для работы через ssl в локальной сети обычно используются self-signed сертификаты, что естественно. Сертификат сервера обычно подписывается сертификатом организации.

Итак, сгенерируем секретный ключ RSA и self-signed сертификат организации:

dd if=/dev/urandom of=/etc/openssl/.rnd -count 64

openssl genrsa -rand /etc/openssl/.rnd -des3 -out /etc/openssl/org.key

openssl req -new -key /etc/openssl/org.key -config /etc/openssl/org.cnf -out /etc/openssl/org.csr

openssl x509 -req -signkey /etc/openssl/org.key -in /etc/openssl/org.csr -extfile /etc/openssl/org.cnf

    -out /etc/openssl/org.crt -days 365

Пример конфигурационного файла сертификата организации (CA-сертификат, поэтому определяем некоторые расширения, которые указываем программе x509):

[ req ]

default_bits                   = 1024

distinguished_name             = req_DN

RANDFILE                       = ca.rnd

extensions                     = v3_req

[ req_DN ]

countryName                    = "1. Country Name (2 letter code)"

countryName_default            = RU

countryName_min                = 2

countryName_max                = 2

stateOrProvinceName            = "2. State or Province Name (full name)"


Предыдущая страницаОглавлениеСледующая страница
 
[001] [002] [003] [004] [005] [006] [007] [008] [009] [010] [011] [012] [013] [014] [015] [016] [017] [018] [019] [020]
[021] [022] [023] [024] [025] [026] [027] [028] [029] [030] [031] [032] [033] [034] [035] [036] [037] [038] [039] [040]
[041] [042] [043] [044] [045] [046] [047] [048] [049] [050] [051] [052] [053] [054] [055] [056] [057] [058] [059] [060]
[061] [062] [063] [064] [065] [066] [067] [068] [069] [070] [071] [072] [073] [074] [075] [076] [077] [078] [079] [080]
[081] [082] [083] [084] [085] [086] [087] [088] [089] [090] [091] [092] [093] [094] [095] [096] [097] [098] [099] [100]
[101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120]
[121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140]
[141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156]

+7 (831) 413-63-27
ООО Дельта-Технология ©2007 - 2016 год
Нижний Новгород, ул. Дальняя, 17А.
Rambler's Top100