Практика OpenSSL

Всеволод Стахов

OpenSSL применяется во множестве сетевых серверов. В данной статье я бы хотел рассказать о работе с ssl Apache, постфикса и курьера. Соответственно происходит шифрация трафика http-, smtp- и imap(pop3)-протоколов. При использовании шифрации ssl обычно меняется порт, чтобы клиент мог корректно определить использование безопасного соединения. Для начала я расскажу об использовании ssl в апаче.

Apache может работать с ssl через модуль mod_ssl, который может быть скачан с www.apache-ssl.org. Для компиляции Apache с данным модулем выполняем следующее:

$ cd /usr/src/apache_1.3.x/src

$ SSL_BASE=/usr/src/mod_ssl/ ./configure -- ... --enable-module=ssl

После успешной компиляции необходимо получить сертификат организации. Тут есть два пути: первый – это создать self-signed сертификат, второй – получить сертификат от trusted root CA. Скорее всего, второй вариант будет не бесплатный, например, на www.thawte.com предлагают продать сертификат www-сервера за 160$ сроком действия на год. С другой стороны, такой способ обеспечивает полную безопасность клиента, т.к. он будет знать, что сертификат действителен. Обычно у браузеров есть набор trusted root CA, и когда браузер получает сертификат, подписанный одним из trusted ca, то он может корректно проверить подпись и решить на её основании о действительности сертификата www-сервера. Если же браузер получает self-signed сертификат, то он спрашивает у пользователя, можно ли доверять этому сертификату, т.к. в этом случае клиент не может точно определить, откуда к нему пришёл этот сертификат и не может проверить его подпись, т.к. она не входит в его trusted root CA. В качестве альтернативного варианта, если вы работаете с несколькими крупными клиентами, можно посоветовать принести каждому клиенту свой сертификат (например, на дискетке или компакте) и вручную добавить его в trusted root CA клиента. Для работы через ssl в локальной сети обычно используются self-signed сертификаты, что естественно. Сертификат сервера обычно подписывается сертификатом организации.

Итак, сгенерируем секретный ключ RSA и self-signed сертификат организации:

dd if=/dev/urandom of=/etc/openssl/.rnd -count 64

openssl genrsa -rand /etc/openssl/.rnd -des3 -out /etc/openssl/org.key

openssl req -new -key /etc/openssl/org.key -config /etc/openssl/org.cnf -out /etc/openssl/org.csr

openssl x509 -req -signkey /etc/openssl/org.key -in /etc/openssl/org.csr -extfile /etc/openssl/org.cnf

    -out /etc/openssl/org.crt -days 365

Пример конфигурационного файла сертификата организации (CA-сертификат, поэтому определяем некоторые расширения, которые указываем программе x509):

[ req ]

default_bits                   = 1024

distinguished_name             = req_DN

RANDFILE                       = ca.rnd

extensions                     = v3_req

[ req_DN ]

countryName                    = "1. Country Name (2 letter code)"

countryName_default            = RU

countryName_min                = 2

countryName_max                = 2

stateOrProvinceName            = "2. State or Province Name (full name)"