PALVELINVARMENTEEN TILAAMINEN - YKSITYISEN AVAIMEN LUONTI

Tällä sivulla ohjeistetaan toimet, jotka sinun tulee tehdä Linux-palvelimellasi luodaksesi yksityisen avaimen ennen Telia SSL-palvelinvarmenteen tilaamista. Jos haluat käyttää Elliptic Curve Cryptography-avainta (ECC), sinun täytyy luoda avain ja CSR-tiedosto erikseen.

Avain tulee asettaa palvelimellesi, jotta uusi varmenteesi toimii. Avaimesta on myös syytä tehdä varmuuskopio. Telialla ei ole kopiota yksityisestä avaimestasi ja ilman sitä varmenne on hyödytön.

LINUX JA OPENSSL

VAIHTOEHTO 1 RSA-AVAIMEN LUOMINEN

  • Luo yksityinen RSA-avain ja samalla varmennepyyntö (CSR) komennolla jommalla kummalla tavalla:
    • interaktiivinen tapa: openssl req -new -utf8 -newkey rsa:2048 -nodes
    • subjektitiedot sisällytetty-tapa: openssl req -nodes -newkey rsa:2048 -keyout example.key -subj "/C=FI/L=Helsinki/O=Telia Finland Oyj/CN=test1.telia.fi
  • Komennot luovat samanaikaisesti yksityisen avaimen ja CSR-tiedoston. Tarkempi CSR-tiedoston luontiohje löytyy Apachen tukisivulta.
  • Jos haluat luoda pelkän avaimen ilman CSR:n luontia samalla, käytä 2048-bittisen RSA-avaimen luontiin komentoa
    openssl genrsa -out private-key.pem 2048
  • Avain ilmaantuu tiedostoon private-key.pem
  • Mahdolliset muut RSA-avaimen pituudet ovat tuettuja 16384 bitin avaimeen asti
  • Alle 2048-bittisen RSA-avaimen käyttö on kiellettyä julkisissa varmenteissa
  • Varmenteen bittiluvun on oltava jaollinen kahdeksalla

VAIHTOEHTO 2 ELLIPTISTEN KÄYRIEN AVAIMEN LUOMINEN

  • Jos haluat käyttää uudenaikaisempaa elliptisten käyrien kryptografiaa avaimessasi, luo avain jommalla kummalla seuraavista komennoista:
    openssl ecparam -name prime256v1 -genkey -noout -out private-key.pem
    openssl ecparam -name secp384r1 -genkey -noout -out private-key.pem
  • ECC-avain luodaan molemmissa tapauksissa tiedostoon private-key.pem
  • Komentojen erona on käytetty käyrä
  • Muita elliptisiä käyriä on olemassa mainittujen kahden lisäksi, mutta niiden käyttö julkisissa varmenteissa ei ole sallittua
  • CSR-tiedoston luontiohje löytyy Apachen tukisivulta


OPENSSL JA MODSSL-SIVUT