ELMA365 On-Premises > Подготовка инфраструктуры > TLS/SSL сертификаты / Создание самоподписанных сертификатов TLS/SSL с помощью OpenSSL

Создание самоподписанных сертификатов TLS/SSL с помощью OpenSSL

Начиная с версии Chrome 58 и Firefox 48 сертификаты, в которых не указан атрибут SAN (SubjectAltName) будут приводить к ошибке «Ваше соединение не защищено».

начало внимание

Самоподписанный сертификат SSL не обеспечивает надежную защиту данных от злоумышленников. Рекомендуется использовать коммерческие SSL-сертификаты от доверенных центров сертификации, таких как Comodo, Symantec, Thawte и т. д.

конец внимание

Чтобы создать сертификат с атрибутом SAN, убедитесь, что в вашей системе установлен OpenSSL, а затем выполните следующие действия:

  1. Создаем сертификат корневого CA. На его основе будут выпускаться все остальные сертификаты. Заполните появившиеся поля данными, в поле Common Name введите полное доменное имя  сервера:

sudo openssl genrsa -des3 -out /etc/ssl/private/rootCA.key 2048
sudo openssl req -x509 -new -nodes -key /etc/ssl/private/rootCA.key -sha256 -days 365 -out /etc/ssl/certs/rootCA.pem

  1. Создаем файл конфигурации /etc/ssl/v3.ext со следующим содержанием, где mydomain.com  полное доменное имя сервера:

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
 
[alt_names]
DNS.1 = mydomain.com

  1. Создаем подписанный сертификат, используя файл конфигурации и корневые сертификаты. Заполните появившиеся поля данными, в поле Common Name введите полное доменное имя  сервера:

sudo openssl genrsa -out /etc/ssl/private/selfsigned.key 2048
sudo openssl req -new -key /etc/ssl/private/selfsigned.key -out /etc/ssl/certs/selfsigned.csr
sudo openssl x509 -req -in /etc/ssl/certs/selfsigned.csr -CA /etc/ssl/certs/rootCA.pem -CAkey /etc/ssl/private/rootCA.key -CAcreateserial -out /etc/ssl/certs/selfsigned.crt -days 365 -sha256 -extfile /etc/ssl/v3.ext

  1. При установке или обновлении ELMA365 или баз данных используется ключ selfsigned.key, сертификат selfsigned.crt и сертификат корневого CA rootCA.pem.