SPOJE.NET

Technická dokumentace

Uživatelské nástroje

Nástroje pro tento web

Umístění: WIKI.SPOJE.NET » Návody a Postupy » hosting » SSL certifikáty
Historie:
navody:hosting:ssl

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revizePředchozí verze
Následující verze		Předchozí verze
Následující verzeObě strany příští revize
navody:hosting:ssl [2014/04/30 01:49] – [Chyby v knihovně OpenSSL] gandalfnavody:hosting:ssl [2015/01/26 20:59] gandalf
Řádek 59: Řádek 59:
 <code> <code>
 a2enmod ssl a2enmod ssl
 +</code>
 +
 +==== Doporučené nastavení mod_ssl ====
 +
 +Upravte nebo přidejte tyto volby v konfiguračním souboru __/etc/apache2/mods-available/ssl.conf__
 +<code>
 +SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4
 +SSLHonorCipherOrder on
 +SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2
 </code> </code>
  
Řádek 158: Řádek 167:
 <code file> <code file>
 TLS_CERTFILE=/etc/ssl/private/vasedomena.pem TLS_CERTFILE=/etc/ssl/private/vasedomena.pem
 +TLS_PROTOCOL="TLS1_1:TLS1"
 +TLS_CIPHER_LIST="TLSv1:!SSLv2:!SSLv3:HIGH:!LOW:!MEDIUM:!EXP:!NULL@STRENGTH"
 </code> </code>
  
Řádek 169: Řádek 180:
 smtpd_tls_cert_file = /etc/ssl/private/vasedomena.pem smtpd_tls_cert_file = /etc/ssl/private/vasedomena.pem
 smtpd_tls_key_file = $smtpd_tls_cert_file smtpd_tls_key_file = $smtpd_tls_cert_file
 +smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5
 +smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
 +smtp_tls_mandatory_exclude_ciphers = aNULL, MD5
 +smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
 +lmtp_tls_mandatory_exclude_ciphers = aNULL, MD5
 +lmtp_tls_mandatory_protocols = !SSLv2, !SSLv3
 </code> </code>
 +
 +===== Dovecot =====
 +
 +<code file>
 +ssl_cert_file = /etc/ssl/private/vasedomena.pem
 +ssl_key_file = /etc/ssl/private/vasedomena.pem
 +#ssl_protocols = !SSLv2 !SSLv3
 +</code>
 +
  
 ===== Lighttpd ===== ===== Lighttpd =====
Řádek 190: Řádek 216:
 openssl s_client -starttls smtp -crlf -connect vasedomena:25 openssl s_client -starttls smtp -crlf -connect vasedomena:25
 </code> </code>
 +
 +===== Self-Signed certifikát =====
 +
 +Někdy nám stačí certifikát, podepsaný sám sebou. Např. u méně důležitých služeb, kde potřebujeme šifrovat, ale nepotřebujeme ověřený certifikát, vydaný autoritou.
 +Vygenerování takového certifikátu probíhá obdobně, jako v předchozím případě:
 +
 +1. V adresáři ///etc/ssl/private// vygenerujeme tajný klíč
 +
 +<code bash>
 +openssl genrsa -out nazevdomeny.key 2048
 +</code>
 +
 +2. Nyní ke klíči připravíme žádost o certifikát
 +
 +<code bash>
 +openssl req -new -key nazevdomeny.key -out nazevdomeny.csr
 +</code>
 +
 +3. Následně vytvoříme certifikát, který podepíšeme stejný klíčem. Parametr **days** můžeme nastavit libovolně a určuje délku platnosti certifikátu.
 +
 +<code bash>
 +openssl x509 -req -days 365 -in nazevdomeny.csr -signkey nazevdomeny.key -out nazevdomeny.crt
 +</code>
 +
 +
 +A máme hotovo.
 +
  
 ===== Chyby v knihovně OpenSSL ===== ===== Chyby v knihovně OpenSSL =====
Řádek 225: Řádek 278:
   * FreeBSD 10.0p1 - OpenSSL 1.0.1g (At 8 Apr 18:27:46 2014 UTC)   * FreeBSD 10.0p1 - OpenSSL 1.0.1g (At 8 Apr 18:27:46 2014 UTC)
   * FreeBSD Ports - OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC)   * FreeBSD Ports - OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC)
 +
 +**Diagnostika**
 +
 +Otestovat je možno aktuální verzí [[man>nmap]] - [[http://nmap.org/download.html]]
 +
 +<code>
 +nmap -sV --script=ssl-heartbleed <adresa>
 +</code>
  
 Podrobnosti o celé problematice je možné najít zde - [[http://heartbleed.com/]] Podrobnosti o celé problematice je možné najít zde - [[http://heartbleed.com/]]
Řádek 234: Řádek 295:
  
  
 +==== Odkazy ====
 +
 +  * [[https://www.ssllabs.com/ssltest/]]