Az SSL kulcs

Ahhoz, hogy a szerverünk megfelelően titkosítva legyen, elengedhetetlen dolog az SSL titkosítás. Ha ez nincs meg, akkor nyilvános Wi-Fi hálózatokon például egy egyszerű sniffeléssel el lehet lopni a jelszavakat, sütiket... Sajnos az SSL kulcsokért általában fizetni kell, ám egy fórumtárs felhívta a figyelmem egy olyan honlapra, amelyen ingyen igényelhetünk magunknak egyet. Az egyetlen hátránya, hogy évente új kulcsot kell regisztrálni. Ez az oldal pedig a startssl.com.

Viszont mielőtt belevágnánk a regisztrációba, szükségünk lesz egy csr fájlra, mivel ez kelleni fog majd az ssl kulcskéréshez. Ehhez ezeket kell kiadnunk:

mkdir /tmp/ssl_conf
cd /tmp/ssl_conf
openssl req -config /ffp/etc/ssl/openssl.cnf -new -out server.csr

Majd kérni fogja a következőket:

Enter PEM pass phrase: ide írjunk be egy jelszót (nem lesz használva a WebDAV szerveren, ez csak a kulcshoz kell)
Verifying - Enter PEM pass phrase: még egyszer írd be a jelszót
Country Name (2 letter code) [AU]:kétbetűs országnév, pl: HU
State or Province Name (full name) [Some-State]: én ide a Hungary-t írtam
Locality Name (e.g. city) []:város, pl. Budapest
Organization Name (e.g. company) [Internet Widgits Pty Ltd]: ide jöhet bármi, én pl. ezt írtam be: Mr Dini's home server
Organizational Unit Name (e.g. section) []: ide is jöhet bármi, pl: home WebDAV server
Common Name (e.g. server FQDN or YOUR name) []: dinamikus DNS-ed címe, pl. valami.no-ip.org
Email Address []: valós e-mail címetek (valósat adj meg!)
A challenge password []: nyomj Enter-t, ez nem érdekes
An optional company name []: szintén Enter

Ha ezzel megvagyunk, írassuk ki a server .csr-t és tegyük félre: cat ./server.csr. Illetve szükségünk lesz még egy server.key-re is, amit a következő paranccsal tudunk elkészíteni: openssl rsa -in privkey.pem -out server.key.

Ha kiadjuk a parancsot, akkor kérdezni fog egy pass phrase-t. Ez megegyezik az előző (server.csr)-es pass phrase-zel. Ha sikeres lett a folyamat, akkor létrejött egy server.key is a kulcsos mappánkban. Ezt mozgassuk át a /ffp/apache mappába: mv ./server.key /ffp/apache/.

Ez után regisztráljunk a startssl.com-ra, és menjünk a "Start now for Free SSL Certificate"-re. Ezen belül pedig a Domain Validation-t válasszuk, majd adjuk meg a dinamikus DNS címünket, és lépjünk tovább. A következő lapon megpróbál egy ellenőrző e-mail-t küldeni, de mivel egyik e-mail cím sem felelt meg nekem, így a következő trükkhöz folyamodtam. Először is rámentem a "website control validation"-re, majd letöltöttem a HTML fájlt, amit felajánlott, és elhelyeztem a NAS /ffp/apache/htdocs/ mappájában, majd elindítottam a webszervert ideiglenesen a korábban már megismert apachectl start-tal.
Ez után a routerben nyitottam egy port forwardot a NAS IP címére. Belső portnak a 8080-at írtam, külsőnek pedig a 80-as portot. Ezután szimplán rámentem a "The verification file is ready in website, Continue ..."-re. Ezt követően feljön egy ablak, ahol két lehetőség közül lehet választani. Nekünk az első lehetőség, azaz a "Generated by Myself" kell. A kiírás alatti boxba pedig másoljuk be a korábban kiíratott server.csr fájlunk tartalmát, majd lépjünk tovább. Majd ha a procedúra végére értünk, akkor egy zip fájlban letölthetjük a frissen készült kulcsunkat. Ezt a zip-et nyissuk meg, majd ezen belül is válasszuk az ApacheServer.zip-et, és tömörítsük ki a tartalmát mondjuk a /ffp/apache/ mappába.

Illetve érdemes még a jogokat is beállítani ezeken a fájlokon a chown root:www-data /ffp/apache/{server.key,1_root_bundle.crt,2_valami.no-ip.org.crt}; chmod 640 /ffp/apache/{server.key,1_root_bundle.crt,2_valami.no-ip.org.crt} paranccsal.

A cikk még nem ért véget, kérlek, lapozz!