- Детальная настройка всего хозяйства
- Embedded:
- Записываем модули ядра в папку /boot/kernel/
- Perormance tests
- Encrypted swap
- Другие разновидности
- HTTPS и HSTS
- FreeNAS FC Target
- Делаем доступ к FC-дискам для FreeNAS
- FreeNAS изменение карты разделов корневого диска
- FreeNAS replication tasks
- PFSense and Ubiquiti
- Редактируем менюхи Web-GUI
- Старые версии приложений
- BHYVE and Pass-thru NIC
- Postgresql in freenas Jail
- Jails in PFSense
- FreeNAS rc.conf modification
- Embedded
- У свитчей Ubiquiti дефолтный админ называется ubnt
- PFSense Traffic Shaper
- PFSense. L2TP over IPSec
- Plex Home Theater embedded
- FreeNAS не грузится с флешки
- adv
- FreeBSD
- FreeBSD FUSE+ExFAT
- FreeBSD and NFS
- IPFW
- Install VirtalBox to FreeBSD and FreeNAS
- Выявляем состояние дисков
- FreeBSD: IPv6 setup
- Мониторинг RAID из командной строки
- FreeBSD Hardware Info
- FreeBSD pkg2ng and ports
- Unicode и Русский язык в FreeBSD 7.0 и выше
- FreeBSD 8.X - 9.X - 10.X Unicode Support
- Mellanox Infiniband Driver FreeBSD
- FreeBSD Network tuning
- VirtualBox 5 на Freebsd 10
- Установка времени и зоны
- Пароль на Single User
- OpenVPN
- UPS and nut
- FreeBSD iSCSI
- jails
- Diskless FreeBSD, iSCSI NetBoot
- Разрешение монитора
- Root on ZFS
- IPFW + NATD
- No buffer space available
- Работа с ZFS
- FreeBSD GEOM Recovery
- Postfix LDAP Sasl
- Links
- FreeBSD get sources
- Link Aggregation
- 10 Gb Ethernet Drivers
- Highpoint RocketRAID 2680 FreeBSD
- Webmin not starts, miniserv got an error (opt)
- Mount iso and other tips
- Работа с дисками
- LSI Pre-boot USB and CD installation instructions, EULA, and sources
- Выявляем состояние дисков
- MegaCli and tw_cli commands. Add drive to LSI RAID Volume
- Создание большого диска на FreeBSD
- Windows. OS not found Fix
- HPT Commands
- Resize EXT4
- Fsck
- Quantum StorNext
- RAID Basics
- Disk Recovery tools
- Выбор SSD
- RAID Basics
- Mac OS X: Manage GPT structure
- FreeBSD GEOM Recovery
- WD: Red, Green
- FreeNAS не грузится с флешки
- Create bsd slice
- Восстановление прошивки RAID-контроллеров LSI
- ZFS Administration
- EFI / UEFI
- Телефония
- Security Lab
- SSL Cert Auth
- Advanced IPFW rules
- Crypto Locker
- Astra Linux install Redis with SSL/TLS support
- Boot Password
- Default Passwords
- SSL A+
- Crypto Locker. Short English version
- Уязвимость OpenSSL
- SSL Auth Process
- Crypto Locker. Часть 2
- IPFW
- Скрипт диагностики сети
- Шьерт побьери
- SMS-оповещение
- Port Knock
- Козлизм
- NTP amplification attack
- Openssl create self-signed cert
- Социальная инженерия
- Постановление № 1119 от 02.11.2012
- Subject Alternate Name Certificate
- Switch Flood
- Видеонаблюдение
- DCP Checksum
- UDP Punch Attack
- Настройки общих для POSIX-систем служб
- Windows
- Linux
- RHEL / CentOS Install and inital configuration
- Linux Links
- Boot Linux into text mode
- GFS2
- Срубаем пароли
- Linux Hardware info
- Linux chroot
- DNSMASQ
- Ограничиваем память
- Bash history search like tsch
- NFS on RedHAT 5
- Делаем репозиторий для локалки
- ifcfg в RHEL/CentOS
- RHEL / CentOS UPGRADE: (6.3 -> 6.4, 6.4 -> 6.5)
- Openvpn
- Linux Security: systemd
- Mac OS X
- Скрыть юзера
- TLS server engine: cannot load CA data
- Mac Keeper
- IPv6 в Safari
- Mac OS create user
- Sudo repair
- XSAN
- Сбросить пароль
- DNS
- Rebuild System Cache
- CrossOver и русский кызя
- Хакинтош
- iTunes ip port
- Неофициальная поддержка LSI RAID
- Отобрать админские полномочия у пользователя
- Mac OS X: Manage GPT structure
- PF in Mac OS 10.7-10.9
- Расшарить папку по NFS
- ML (10.8) change hostname
- OpenDirectory passwd
- Open Directory SSL
- Cсылки afp://ip.addr/Share/Folder
- Legacy AFP
- sha1 checksum
- WiFi 5GHz
- Time Machine
- Network
- Виртуалки
Yet another one sysadsmin wiki.
Сертификаты
Сертификаты позиционируются как “Удостоверения сервера”, то есть такие данные, которые позволяют однозначно аутентифицировать сервер и быть уверенным, что нас не перенаправили на фейковый сервер. Например, с целью получить какие-то приватные данные, типа номера кредитки.
Однако, сертификаты нам нужны для еще одной, более прозаической цели - шифрования трафика. То есть для того, чтобы наши данные проходили по сети в зашифрованном виде и никто не мог их снять, например, с промежуточного свитча, и, прогнав, например, через wireshark, получить наши коды, пароли и явки (и номера кредиток, в том числе).
Сгенерировать первый сертификат для сервера просто:
- Сперва создаем запрос на подписание сертификата центром сертификации, таким например, как www.sslforfree.com или www.cacert.org :
cd /etc/ssl/; openssl req -out CSR.csr -new -newkey rsa:2048 -nodes -keyout privateKey.key
- В результате мы получаем два файла:
privateKey.key- собственно закрытый ключ сервера, его мы никому не показываем и храним в безопасном месте (типа/etc/ssl/); второй -CSR.csr- это certificate Signing request, его мы скармливаем сайту www.sslforfree.com (или cacert.org, кому что больше нравится) - На том же сайте получаем готовый серификат: на cacert.org и sslforfree.com - почти сразу, а на startssl.com - через некоторое время.
Продлить сертификат
- Сертификаты не продлеваются, но можно получть новый сертификат на тот же ключ и с теми же данными:
cd /etc/ssl/; rm CSR.csr; openssl req -out CSR.csr -key privateKey.key -new
- На том же cacert.org или startssl.com в окно CSR втыкаем новый запрос и получаем сертификат
Сертификат или CSR для нескольких доменов сразу
Эти “дополнительные” домены лучше всего задавать сразу в конфиге OpenSSL (можно в дополнительном файле, его все равно надо особо указывать openssl-ю).
Делаем файлик:
- multidomain.cnf
[ v3_req ] subjectAltName = @alt_names [alt_names] DNS.1 = chroot.ru DNS.2 = mail.chroot.ru DNS.3 = www.chroot.ru DNS.4 = dr.chroot.ru
После этого генерим CSR, в который включен данный конфиг:
openssl req -out OurCertRequest.csr -key OurKey.key -new -config /etc/openssl/multidomain.cnf
Самоподписной сертификат
Если кроме одного - двух человек, которым пофиг, что сертификат никем не гарантирован, на ваш сайт никто заходить не будет, то можно слепить самоподписной сертификат:
openssl x509 -x509toreq -in certificate.crt -out CSR.csr -signkey privateKey.key
Я предпочитаю сделать это тремя более простыми командами, т.к. их легче запомнить:
openssl genrsa -out cert.key 2048 openssl req -new -key cert.key -out cert.csr openssl x509 -req -days 1100 -in cert.csr -signkey cert.key -out cert.crt
Java-Cert
Java-программы используют контейнер типв keystore для хранения ключа и сертификата. Контейнер с самоподписным сертификатом лепится так:
keytool -genkey -v -alias ourdomain -keyalg RSA -validity 3650 -keysize 2048 \ -keystore ourdomaincert.jks -storepass [My strong password] -keypass [SAME strong password]
Но позже нам начинает хотеться использовать честный серт.
И возможно, мы, вместо того, чтобы создать этот контейнер из честного сертификата с нуля, запросили серт через csr
keytool -certreq -alias mydomain -keystore keystore.jks -file mydomain.csr
Теперь придется мудрить.
Конвертируем jks в PKCS12:
keytool -importkeystore -srckeystore ourdomaincert.jks -destkeystore ourdomaincert.p12 -deststoretype PKCS12
Вытаскиваем приватный ключ из PKCS12:
openssl pkcs12 -in ourdomaincert.p12 -out ourdomain.key -nodes -nocerts
Складываем из приватного ключа и полученного честного серта новый “честный” PKCS12:
openssl pkcs12 -export -name ourdomain -in ourdomain_signed.crt -inkey ourdomain.key -certfile CACert_bundle.crt -out ourdomaincert_signed.p12
Конвертируем PKCS12 в jks:
keytool -importkeystore -destkeystore ourdomaincert_signed.jks -srckeystore ourdomaincert_signed.p12 -srcstoretype pkcs12 -alias ourdomain
В новый JKS можно (и нужно) до кучи воткнуть честные рутовые серты от издателя нашего “честного” серта (я втыкал их CACert_bundle.crt на этапе создания p12):
keytool -import -trustcacerts -alias root -file Thawte.crt -keystore keystore.jks
Другие команды openssl
Где-то мне попадались (кажется, на lissyara.su) готовые команды для openssl, если найду - запощу сюда.
Вот одна ссылка, в принципе - нормально: http://www.sslshopper.com/article-most-common-openssl-commands.html
Java Keytool Keystore Commands
https://www.sslshopper.com/article-most-common-java-keytool-keystore-commands.html
Keystore export key and cert:
keytool -importkeystore -srckeystore existing-store.jks -destkeystore new-store.p12 -deststoretype PKCS12
Keystore export cert:
keytool -export -alias mydomain -file mydomain.crt -keystore keystore.jks
Создать csr
keytool -certreq -alias mydomain -keystore keystore.jks -file mydomain.csr
