1. Bliv accepteret af CACERT
Den første del er det besværligste, for her skal du gennem den langsommelige proces med at optjene "assurance points". Assurance points optjenes i et "web of trust" ved at allerede godkendte folk siger god for, at du er den, du udgiver dig for. Det er med andre ord en social øvelse, så lad det være en advarsel, Linux-nørder.
Du skal sætte møder op med en række "assurers", som du kommer til at mødes med ansigt til ansigt, hvor du viser rimeligt bevis for din identitet, f.eks. med kørekort eller pas. Dine assurance points stiger, efterhånden som hver assurer siger god for din identitet. På et tidspunkt har du optjent tilstrækkeligt med assurance points til at CACERT vil udstede certifikater for dig.
- Meld dig til CACERT på https://www.cacert.org/index.php?id=1
- Find assurers via https://www.cacert.org/wot.php?id=12 og sæt møder op med dem.
- På et tidspunkt vil du have optjent det nødvendige antal points.
2. Fremstil en privat nøgle
Kode: Vælg alt
openssl genrsa -des3 -out my-private-key.key 1024Brug et vilkårligt password, for vi fjerner det igen om et øjeblik.
3. Fremstil en Signing Request til CACERT
Kode: Vælg alt
openssl req -new -key my-private-key.key -out my-request.csrDu bestemmer selv, hvad du skriver i country name, provice, osv., bortset fra i "Common Name", hvor du skal skrive server-navnet for dit certifikat. Hvis du f.eks. vil fremstille et certifikat for serveren med navnet "webmail.ditdomæne.dk", så er det denne tekst, der skal fremgå af Common Name. Alle de øvrige felter har kun betydning for mennesker, der vælger at se nærmere på certifikatet.
Copy/paste indholdet af my-request.csr ind i CACERT signing certificate request formularen på CACERT web side på https://www.cacert.org/account.php?id=10 og indsend formularen.
4. Gem CACERT-certifikatet
CACERT vil nu fremstille og vise server-certifikatet. Copy/paste dette certifikat til en fil med navnet my-certificate.crt.
5. Fjern password for private key
Dette er ikke strengt nødvendigt, med mindre du vil undgå at skulle skrive dit password, hver gang du genstarter din web-server.
Kode: Vælg alt
cp my-private-key.key my-private-key.key.orig
openssl rsa -in my-private-key.key.orig -out my-private-key.keySkriv dit password, når du bliver bedt om det. Herefter indeholder my-private-key.key ikke længere dit password. Du kan slette my-private-key.key.orig nu, for du får ikke brug for det.
6. Gem certifikat og nøgle
Kode: Vælg alt
chmod 600 my-private-key.key
chmod 644 my-certificate.crt
sudo mv my-private-key.key /etc/ssl/private/my-private-key.key
sudo mv my-certificate.crt /etc/ssl/certs/my-certificate.crtDu bør her vælge at navngive dine nøgler på passende vis i de to sidste linier; for eksempel sub.mitdomæne.dk.key og sub.mitdomæne.dk.crt.
7. Importer CACERT root certificates
Flere Linux-distributioner og (selvfølgelig) Windows mangler stadig at anerkende CACERT som autoritet, så du er nødt til selv at importere root-certifikaterne. Der er forskel på browsere og email-klienter, så der er ikke nogen ensartet måde at gøre det på. Se CACERT Wiki for instruktioner.
Bemærk, at hvis du valgte et Class 3 certifikat, skal du både importere CACERT's Class 1 og Class 3 root certifikater i dine klienter.