Sådan får du et CACERT certifikat

[wolf]

Denne vejledning forklarer, hvordan du kan oprette et gratis certifikat til f.eks. HTTPS eller mail, som er underskrevet af CACERT. Dermed undgår du at skulle fremstille et self-signed certificate, som ikke giver nogen speciel sikkerhed for udstederens identitet.

1. Bliv accepteret af CACERT

Den første del er det besværligste, for her skal du gennem den langsommelige proces med at optjene "assurance points". Assurance points optjenes i et "web of trust" ved at allerede godkendte folk siger god for, at du er den, du udgiver dig for. Det er med andre ord en social øvelse, så lad det være en advarsel, Linux-nørder.

Du skal sætte møder op med en række "assurers", som du kommer til at mødes med ansigt til ansigt, hvor du viser rimeligt bevis for din identitet, f.eks. med kørekort eller pas. Dine assurance points stiger, efterhånden som hver assurer siger god for din identitet. På et tidspunkt har du optjent tilstrækkeligt med assurance points til at CACERT vil udstede certifikater for dig.

• Meld dig til CACERT på https://www.cacert.org/index.php?id=1
• Find assurers via https://www.cacert.org/wot.php?id=12 og sæt møder op med dem.
• På et tidspunkt vil du have optjent det nødvendige antal points.

2. Fremstil en privat nøgle

Kode: Vælg alt

openssl genrsa -des3 -out my-private-key.key 1024

Brug et vilkårligt password, for vi fjerner det igen om et øjeblik.

3. Fremstil en Signing Request til CACERT

Kode: Vælg alt

openssl req -new -key my-private-key.key -out my-request.csr

Du bestemmer selv, hvad du skriver i country name, provice, osv., bortset fra i "Common Name", hvor du skal skrive server-navnet for dit certifikat. Hvis du f.eks. vil fremstille et certifikat for serveren med navnet "webmail.ditdomæne.dk", så er det denne tekst, der skal fremgå af Common Name. Alle de øvrige felter har kun betydning for mennesker, der vælger at se nærmere på certifikatet.

Copy/paste indholdet af my-request.csr ind i CACERT signing certificate request formularen på CACERT web side på https://www.cacert.org/account.php?id=10 og indsend formularen.

4. Gem CACERT-certifikatet

CACERT vil nu fremstille og vise server-certifikatet. Copy/paste dette certifikat til en fil med navnet my-certificate.crt.

5. Fjern password for private key

Dette er ikke strengt nødvendigt, med mindre du vil undgå at skulle skrive dit password, hver gang du genstarter din web-server.

Kode: Vælg alt

cp my-private-key.key my-private-key.key.orig
openssl rsa -in my-private-key.key.orig -out my-private-key.key

Skriv dit password, når du bliver bedt om det. Herefter indeholder my-private-key.key ikke længere dit password. Du kan slette my-private-key.key.orig nu, for du får ikke brug for det.

6. Gem certifikat og nøgle

Kode: Vælg alt

chmod 600 my-private-key.key
chmod 644 my-certificate.crt
sudo mv my-private-key.key /etc/ssl/private/my-private-key.key
sudo mv my-certificate.crt /etc/ssl/certs/my-certificate.crt

Du bør her vælge at navngive dine nøgler på passende vis i de to sidste linier; for eksempel sub.mitdomæne.dk.key og sub.mitdomæne.dk.crt.

7. Importer CACERT root certificates

Flere Linux-distributioner og (selvfølgelig) Windows mangler stadig at anerkende CACERT som autoritet, så du er nødt til selv at importere root-certifikaterne. Der er forskel på browsere og email-klienter, så der er ikke nogen ensartet måde at gøre det på. Se CACERT Wiki for instruktioner.

Bemærk, at hvis du valgte et Class 3 certifikat, skal du både importere CACERT's Class 1 og Class 3 root certifikater i dine klienter.