Назад | Перейти на главную страницу

В OpenShift Origin мне нужно сгенерировать ключи и сертификаты, чтобы обеспечить безопасность моего соединения. Откуда эти ключи?

В OpenShift Origin мне нужно сгенерировать ключи и сертификаты, чтобы обеспечить безопасность моего соединения. Откуда эти ключи?

Эти ключи находятся в формате PEM, и я действительно не знаю, где их найти и как их сгенерировать.

Я знаю, что были заданы почти похожие вопросы, но ни один из них не ответил на мой вопрос, который я смог найти, а документация OpenShift не самая лучшая.

Предпочтительно использовать графический интерфейс, а не командную строку, хотя я буду, если нужно.

Спасибо!

Инфраструктура ключей SSL предназначена для предотвращения атак типа «человек посередине» (MITM). Предположим, вы банк. MITM может перехватывать трафик между вами и вашим клиентом, выдавать себя за вас за вашего клиента и выдавать себя за вашего клиента за вас.

Для этого этот посредник должен будет сгенерировать секретный ключ и с помощью этого ключа зашифровать трафик между вашим клиентом и вами. Однако браузеры не позволяют MITM делать это, требуя, чтобы сервер вашего банка (и любой другой сервер) предоставлял сертификат от доверенной третьей стороны, который гарантирует, что ключ действительно принадлежит серверу банка. MITM не сможет получить такой сертификат, но вы получите его, если вы действующий банковский сервер.

Итак, чтобы защитить своих клиентов, вам необходимо сгенерировать закрытый ключ и запрос на сертификат.

  1. Создайте свой закрытый ключ (.key) и файл запроса сертификата (.csr) с помощью:

openssl req -new -newkey rsa:2048 -nodes -keyout <your_domain>.key -out <your_domain>.csr

CSR-файл - это, по сути, ваша просьба к сертифицирующему органу подтвердить, что ваш ключ действительно принадлежит банку, владельцу домена. <your_domain>.

  1. Отправьте CSR-файл в центр выдачи сертификатов. Это может быть какой-нибудь продавец SSL, например COMODO или GODADDY. В качестве альтернативы вы можете выпустить самозаверяющий сертификат и проверить его (но браузеры не будут доверять вам, потому что, как вы знаете, MITM может создать самозаверяющий сертификат)

  2. Полномочия вернут вам файл .CRT или .CER с подписанным сертификатом, а также набор вышестоящих файлов .CER (авторитет также может не иметь полномочий сам по себе, но ему может быть делегировано право подписывать и продавать сертификаты вышестоящим органом. авторитет - в этом случае вы получите 3 сертификата - ваш собственный, промежуточный - сертификат посредника и корневой сертификат «настоящего» центра).

Вы объединяете эти 3 сертификата (ваш, чем промежуточный, чем корневой) в файл .PEM и распространяете его с вашим сервером OpenShift (перейдите в Application -> Routes и нажмите 'Edit' на этой странице, чтобы загрузить свой закрытый ключ и цепочку сертификатов) .