В OpenShift Origin мне нужно сгенерировать ключи и сертификаты, чтобы обеспечить безопасность моего соединения. Откуда берутся эти ключи?
В OpenShift Origin мне нужно сгенерировать ключи и сертификаты, чтобы сделать мое соединение безопасным. Откуда берутся эти ключи?
Эти ключи имеют формат PEM, и я действительно не знаю, где их найти и как их сгенерировать.
Я знаю, что были заданы почти похожие вопросы, но я не смог найти ни одного, отвечающего на мой вопрос, а документация OpenShift не самая лучшая.
Предпочтительно использовать графический интерфейс, а не командную строку, хотя, если потребуется, я сделаю это.
Спасибо!
Инфраструктура ключей SSL предназначена для предотвращения атак типа «злоумышленник в середине» (MITM). Предположим, вы банк. MITM может перехватывать трафик между вами и вашим клиентом, выдавать себя за вашего клиента и выдавать себя за вас за вас.
Для этого этот посредник должен будет сгенерировать секретный ключ и зашифровать трафик между ваш клиент и вы с этим ключом. Однако браузеры не позволяют MITM делать это, требуя, чтобы сервер вашего банка (и любой другой сервер) предоставил сертификат от доверенной третьей стороны, который гарантирует, что ключ действительно принадлежит серверу банка. MITM не сможет получить такой сертификат, но вы получите его, если вы действующий банковский сервер.
Итак, для защиты ваших клиентов вам необходимо сгенерировать закрытый ключ и запрос сертификата.
- Создайте свой закрытый ключ (.key) и файл запроса сертификата (.csr) с помощью:
openssl req -new -newkey rsa: 2048 -nodes -keyout <ваш_домен> .key -out <ваш_домен> .csr
CSR-файл - это, по сути, ваша просьба к сертифицирующему органу подтвердить, что ваш ключ действительно принадлежит банку, владельцу домена .
Отправьте CSR-файл в орган, выдающий сертификат. Это может быть какой-нибудь продавец SSL, например COMODO или GODADDY. В качестве альтернативы вы можете выпустить самозаверяющий сертификат и проверить его (но браузеры не будут доверять вам, потому что, как вы знаете, MITM может создать самозаверяющий сертификат)
Орган вернет файл .CRT или .CER с подписанный сертификат для вас, а также набор исходных файлов .CER (орган тоже может не иметь полномочий, но ему делегируется право подписывать и продавать сертификаты органом более высокого уровня - в этом случае вы получите 3 сертификата - собственный, промежуточный - реселлерский - сертификат и корневой сертификат «настоящего» органа).
Вы объединяете эти 3 сертификата (ваш, затем промежуточный, чем корневой) в файл .PEM и распространяете его на свой сервер OpenShift (перейдите в Приложение -> Маршруты и нажмите «Изменить» на этой странице, чтобы загрузить свой закрытый ключ и цепочка сертификатов).