Serverių sertifikatų paslauga Vytautas Krakauskas [email protected] Pasitikėjimas • Trys šalys – Sertifikato savininkas – sertifikate pateikia informaciją apie save – Sertifikatų tarnyba (CA) – patvirtina, kad sertifikato informacija.
Download ReportTranscript Serverių sertifikatų paslauga Vytautas Krakauskas [email protected] Pasitikėjimas • Trys šalys – Sertifikato savininkas – sertifikate pateikia informaciją apie save – Sertifikatų tarnyba (CA) – patvirtina, kad sertifikato informacija.
Slide 1
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 2
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 3
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 4
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 5
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 6
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 7
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 8
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 9
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 10
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 11
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 12
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 13
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 14
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 15
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 16
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 17
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 18
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 19
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 20
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 21
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 2
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 3
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 4
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 5
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 6
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 7
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 8
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 9
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 10
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 11
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 12
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 13
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 14
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 15
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 16
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 17
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 18
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 19
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 20
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?
Slide 21
Serverių sertifikatų paslauga
Vytautas Krakauskas
[email protected]
Pasitikėjimas
• Trys šalys
– Sertifikato savininkas – sertifikate pateikia
informaciją apie save
– Sertifikatų tarnyba (CA) – patvirtina, kad
sertifikato informacija teisinga
– Klientas – naudojasi sertifikato savininko
paslaugomis, pasitiki sertifikatų tarnyba
Komercinės CA
• Eilės sertifikatų tarnybų (CA) sertifikatai
pateikiami kartu su programomis
• Šios tarnybos už sertifikatų patvirtinimą prašo
užmokėsčio
Verisign $400
Comodo €34 (~$50)
Digicert $115
Identrust $175
Ebizid $50
Entrust $160
Network Solutions $89
ProntoSSL £20 (~$40)
Globalsign $140
QualitySSL €150 (~$220)
RapidSSL $79
SecureSSL $100
SSL.com $250
Thawte $150
Geotrust $250
Sava CA
• Galima sukurti savo sertifikatų tarnybą (CA):
– Sertifikatų pasirašymas bus nemokamas
– Klientai turės importuoti šios tarnybos sertifikatus
Sava CA
Nežinoma CA
• Dažnai naudojama SSL sujungimams
– Galimas duomenų perimimas
– Perspėjimai vartotojams arba atsisakymas
užmegsti sesiją
Nežinoma CA
• Firefox 3
Nežinoma CA
• IE7
Serverių sertifikatų paslauga (SCS)
•
•
•
•
Terena ir Globalsign sutartis iki 2010 metų
LITNET šiais metais baigė prisijungimą
Neribotas sertifikatų kiekis organizacijoms
LITNET RA
– http://scs.litnet.lt/
– [email protected]
Darbo eiga
• Užregistruojama organizacija
– Vieną kartą, prieš prašant sertifikatų
•
•
•
•
•
Sukuriamas sertifikato CSR
Užpildoma sertifikato prašymo forma
Pasirašomas ir atsiunčiamas patvirtinimas
LITNET RA patikrina prašymą
Užsakovas informuojamas apie sertifikato
sukūrimą
• Sertifikatas įdiegiamas
Reikalavimai
• Organizacija
– Mokslo ir tyrimų veikla
– Prijungta prie LITNET tinklo
• Sertifikatų naudojimas
– Tik serverių sertifikatai
– Negali būti naudojami financinėms operacijoms
atlikti
Naujos organizacijos registracija
• Dokumentai
– Įgaliojimas (šabloną rasite http://scs.litnet.lt/)
• Kartu nurodomi įgaliotiniai
– Organizacijos egzistavimą patvirtinantis
dokumentas
• Visi dokumentai atsiunčiami į LITNET RA
• Turi būti sukurtas [email protected]
adresas
CSR sukūrimas
• Unix/Linux/Mac OS
– OpenSSL
• Windows
– OpenSSL
– ISS Manager
CSR sukūrimas
• OpenSSL konfigūracija
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
[ dn ]
C = LT
O = Kauno technologijos universitetas
CN = www.ktu.lt
# NEPRIVALOMOS EILUTĖS
L = Kaunas
OU = Informaciniu technologiju pletros institutas
CSR sukūrimas
• openssl req -new -config myserver.cnf -keyout
myserver.key -out myserver.csr
Forma
Patvirtinimas
• El. Paštu atsiunčiamas patvirtinimas
– Reikia atspausdinti
– Pasirašyti
– Atsiųsti LITNET RA
• El. Paštu skenuotą
• Faksu
• Paprastu paštu
Patikrinimas
• LITNET RA gautą prašymą patikrins
• Jei nebus klaidų, užsakovas gaus sertifikatą
• Galimos klaidos
– Organizacijos ir domeno sąvininko nesutapimas
– Lietuviškos raidės
– Asmuo neįgaliotas
Sertifikato diegimas
• Tarpinis CA sertifikatas
– http://secure.globalsign.net/cacert/sureserverED
U.pem
• Pavyzdys
– https://pastas.vgtu.lt/
• Apache konfigūracijos pavyzdys
SSLCertificateFile myserver.crt
SSLCertificateKeyFile myserver.key
SSLCertificateChainFile sureserverEDU.pem
Tarpinis sertifikatas
Pabaiga
• Ačiū už dėmesį
• Gal turite klausimų?