MaYoR Hungary - Tanúsítvány hitelesítő

Saját gyakorlatunkból jól ismerjük a self-signed tanúsítványokkal járó kellemetlenségeket. A böngészőket rá kell beszélni az általuk borzasztóan veszélyesnek ítélt oldalhoz való csatlakozásra, ráadásul ezt a lépéssort a felhasználóink számára is - ha nem is érthetővé - legalább elfogadhatóvá kell tennünk, miközben a böngészők - amúgy teljesen jogosan - egyre drasztikusabb figyelmeztetéseket küldenek feléjük.

Megoldási lehetőségek

Az igazán jó megoldás nyilván egy tisztességes tanúsítvány beszerzése lenne, hazánkban talán a NetLock által hitelesített tanúsítványok beszerzése a legegyszerűbb, de nem jellemző, hogy a magyar középiskolák tömegével szereznének be ilyet, ha találhatnak más - bár kétség kívül kevésbé biztonságos - megoldást is.

Köztes megoldás lehet, ha csatlakozunk a CAcert.org-hoz - de mi nem ismerjük részleteiben ezt a kezdeményezést, nem vettük a fáradságot, hogy megismerjük, így ajánlani nem tudjuk - ha valaki tud róla bővebbet, írjon róla nekünk - lehet, hogy jó megoldás.

A mi alternatívánk egy általunk (MaYoR Hungary) hitelesített tanúsítvány kiadása.

MaYoR Hungary CA

Igény esetén az elküldött adatok alapján készítünk MaYoR Hungary által aláírt tanúsítványt.

[color=red] » Ezt a szolgáltatást megszüntettük. « [/color]

[color=#bbbbbb]

Mi előnye van?

Ez a megoldás nem sokban tér el a self-signed tanúsítvány alkalmazásától. Kicsivel talán növeli a hitelességet, hogy nem az adott szerveren generált kulcsot használunk - a szerver egy tőlünk kapott tanúsítványt mutat fel, ami annyit jelent, hogy legalábbis fel kellett vegye velünk a kapcsolatot a szerver telepítője, ennek vannak nyomai, legalább egy email cím, vagy telefonszám. A hitelesítést ennél mélyebben nem tudjuk biztosítani (nem megyünk el „családlátogatásra”, nem kérünk hivatalos iratokat a bejegyzéshez, mint a komoly tanúsítvány hitelesítő cégek).

A másik, hogy elegendő a MaYoR Hungary „szervezetet” elfogadtatni a böngészővel, mint megbízható hitelesítő szerv - ez kevésbé ijesztő folyamat és néhány kattintást igényel csak, viszont nyilvánvalóan bizalmi kérdés. Akik elfogadnak minket megbízható hitelesítőként, azoknak a továbbiakban semmilyen gondot nem fog okozni a MaYoR rendszerhez való csatlakozás, sem most, sem a jövőben kiállított újabb tanúsítványok esetén. Aki túl kockázatosnak tartja ezt a bizalmi lépést, az továbbra is úgy járhat el, mint ahogy azt a self-signed tanúsítványokkal tette.

Milyen adatokra van szükség a tanúsítvány kiállításához?

A következő adatokat kell eljuttatni hozzánk (mondjuk a support(a)mayor.hu címre) tanúsítvány igényléséhez:

  • Megye, régió
  • Város
  • Intézmény név
  • Szervezeti egység
  • Web szerver neve
  • Email cím

Az elküldött adatok alapján három állományt generálunk: jelszóval védett kulcsot, jelszó nélküli kulcsot és tanúsítványt. Ha az intézmény rövid neve pl rovidnev, akkor:

     rovidnev.key.pem
     rovidnev.key.pem.unsecure
     mayor.rovidnev.sulinet.hu.cert.pem

A két kulcs közül csak az egyiket kell használni. A különbség, hogy a jelszóval védett kulcs használata esetén a web-szerver indításakor mindig be kell írni a jelszót. Ez kényelmetlen, de a kulcs így nagyobb biztonságban van. Ha ezzel nem akarunk minden indításkor foglalkozni, akkor használjuk bátran a *.unsecure kulcsot (eddig is ilyet használt mindegyikünk).

A három állományt valamilyen egyeztetett úton-módon eljuttatjuk a szerverre (nem email-ben, inkább scp-vel).

A tanúsítvány telepítése

A három állományt másoljuk be a /etc/apache2/ssl köyvtárba (ha nincs ilyen könyvtár, akkor hozzuk létre)!

Szerkesszük a /etc/apache2/sites-enabled/mayor állományt:

     SSLCertificateFile /etc/apache2/ssl/mayor.rovidnev.sulinet.hu.cert.pem
     SSLCertificateKeyFile /etc/apache2/ssl/rovidnev.key.pem.unsecure

A régi bejegyzéseket # jellel kommentezzük ki, vagy a korábbi állományt mentsük el - hátha valami miatt vissza akarunk térni a korábbi változatra…

Indítsuk újra a web-szervert

     /etc/init.d/apache2 restart

A böngésző beállítása

Ha fel szeretnénk venni a MaYoR Hungary „szervezetet” a megbízható tanúsítvány hitelesítők közé, akkor a böngészőnkkel látogassunk el a http://www.mayor.hu/installca.php oldalra és nyomjuk meg az Install gombot. Elegendő a web-helyek hitelesítését engedélyezni a megjelnő ablakban.

Ha ezt a lépést nem kívánjuk megtenni, akkor a webszerverhez való következő csatlakozáskor fogadhatjuk el ideiglenesen, vagy hosszútávra az új tanúsítványt - ahogy azt az ön-aláírt tanúsítványokkal tettük.

Ezzel el is készültünk. [/color]

gyik/mayorca.txt · Utolsó módosítás: 2019/05/28 19:52 (külső szerkesztés)
CC Attribution-Share Alike 4.0 International
Driven by DokuWiki Recent changes RSS feed Valid CSS Valid XHTML 1.0