So werden Sie zu Ihrer eigenen Zertifizierungsstelle und sichern Sie Ihr Spiceworks - Wie Man

So werden Sie zu Ihrer eigenen Zertifizierungsstelle und sichern Sie Ihr Spiceworks

In diesem How-To wird davon ausgegangen, dass Sie ein selbst signiertes Zertifikat erstellen möchten, das in Spiceworks zum Sichern über SSL verwendet werden soll.
Das Ergebnis ist eine Zertifikatsdatei, die Sie auf den Computern Ihrer Benutzer bereitstellen können, die sowohl ein CA-Stammzertifikat als auch ein von Ihrem CA-Zertifikat signiertes SSL-Zertifikat enthalten. Dies bedeutet, dass Benutzer über SSL eine Verbindung herstellen können, ohne dass ein Zertifikatfehler angezeigt wird Geld für ein entsprechendes Zertifikat ausgeben zu müssen.

Diese sind nur für die Verwendung in einer LAN-Umgebung geeignet, in der Sie sie entweder manuell oder über ein Gruppenrichtlinienobjekt bereitstellen können. Wenn Sie diese für eine nach außen gerichtete Site verwenden, erhalten alle Benutzer ohne CA Cert eine Warnmeldung von den meisten modernen Browsern.

8 Schritte insgesamt

Schritt 1: Installieren Sie OpenSSL

Um unsere Zertifikate erstellen zu können, müssen wir OpenSSL verwenden. Die einfachste Möglichkeit, OpenSSL zu verwenden, ist Cygwin. Dies gibt uns eine linuxähnliche Umgebung innerhalb von Windows. Dies hat den Vorteil, dass alle Linux-basierten Handbücher mit etwas verwendet werden können Wenn Sie einen anderen Zertifikattyp generieren möchten, benötigen Sie eine Anleitung (die meisten OpenSSL-Handbücher gelten für Linux). Wenn Sie sich mutig fühlen, gibt es Windows-Builds von OpenSSL, die jedoch konfiguriert werden müssen (eine Kopie von OpenSSL wird ebenfalls mit Spiceworks selbst geliefert, aber es fehlen alle Ordner und Konfigurationsdateien, daher ist dies hier nicht ideal.)

Cygwin Installer: http://www.cygwin.com/

Wenn Sie Cygwin installieren, müssen Sie OpenSSL installieren. Machen Sie sich keine Sorgen, wenn Sie vergessen, dass Sie Pakete jederzeit installieren und aktualisieren können, indem Sie das Setup-Programm erneut ausführen, wenn Sie zur Paketsuchensuche nach OpenSSL gelangen und setze es zu installieren)

Schritt 2: Konfigurieren Sie OpenSSL

Vorausgesetzt, Sie verwenden Cygwin, müssen Sie OpenSSL konfigurieren, bevor Sie fortfahren.
Navigieren Sie zu Ihrem Cygwin-Installationsordner, und erstellen Sie darin die folgenden neuen Ordner (dies kann wie gewohnt in Windows durchgeführt werden):

/ etc / ssl / CA
/ etc / ssl / certs
/ etc / ssl / crl
/ etc / ssl / newcerts
/ etc / ssl / private

Nun müssen wir OpenSSL über diese neuen Ordner informieren, indem Sie die Konfigurationsdatei in /usr/ssl/openssl.cnf bearbeiten.

** Sie müssen ein Programm wie Notepad ++ verwenden, um diese cnf-Datei zu bearbeiten, da Windows der Meinung ist, dass es sich um eine Kurzwahltaste handelt, die es Ihnen nicht gestattet, sie als Textdatei zu öffnen. Vorausgesetzt, Sie haben Notepad ++ installiert, können Sie mit der rechten Maustaste auf die Datei klicken und das Kontextmenü Mit Notepad ++ öffnen verwenden, um die Datei zum Bearbeiten zu öffnen. **

Nehmen Sie in openssl.cnf die folgenden Änderungen vor (Hinweis: Diese Zeilennummern sind möglicherweise nicht genau und können sich bei OpenSSL-Updates ändern):

Zeile 37: dir = / etc / ssl / # Wo alles aufbewahrt wird
Zeile 40: Datenbank = Datenbankverzeichnis $ dir / CA / index.txt #.
Zeile 45: certificate = $ dir / certs / cacert.pem # Das CA-Zertifikat
Zeile 46: serial = $ dir / CA / serial # Die aktuelle Seriennummer
Zeile 50: private_key = $ dir / private / cakey.pem # Der private Schlüssel

Öffnen Sie ein Cygwin-Fenster und führen Sie die folgenden Befehle aus:
sh -c "echo '01'> / etc / ssl / CA / serial"
Berühren Sie /etc/ssl/CA/index.txt

Schritt 3: Generieren Sie das CA-Stammzertifikat

Jetzt können wir das CA-Stammzertifikat generieren, das wir zum Signieren beliebiger anderer Zertifikate verwenden können. Dies ermöglicht Windows, unsere Zertifikate nach der Installation als gültig zu betrachten, da sie mit dem jetzt erstellten Stammzertifikat überprüft werden können .

Führen Sie in einem Cygwin-Fenster Folgendes aus:
cd ~ (dies stellt sicher, dass Sie sich in Ihrem Home-Verzeichnis befinden. Dies ist / home / Ihr Benutzername. Wenn Sie beispielsweise als Administrator bei Windows angemeldet sind, wird es / home / Administrator sein.)
openssl req -new -x509 -Erweiterungen v3_ca -keyout cakey.pem -out cacert.pem -days 3650

Folgen Sie den Anweisungen auf dem Bildschirm und Sie sollten zwei Dateien im Ordner finden, eine Datei mit dem Namen cakey.pem und die andere mit dem Namen cacert.pem.
Verschieben Sie die Datei cakey.pem nach / etc / ssl / private und verschieben Sie cacert.pem nach / etc / ssl / certs.

Schritt 4: Generieren Sie sichere und unsichere Schlüssel

Jetzt müssen wir die Schlüssel generieren, die wir zum Generieren unserer Zertifikatsanforderungen verwenden werden:

openssl genrsa -des3 -out server.key 1024

Dann renne:
openssl rsa -in server.key -out server.key.insecure
mv server.key server.key.secure
mv server.key.insecure server.key

Es verbleiben zwei Dateien, eine namens server.key.secure mit unserem privaten Schlüssel und die andere namens server.key mit unserem öffentlichen Schlüssel.

Schritt 5: Generieren Sie eine Zertifikatsignierungsanforderung

Jetzt können wir eine CSR für die Domäne erstellen, die Spiceworks verwenden wird. Dann kombinieren wir die CSR mit der Stammzertifizierungsstelle, um das Zertifikat zu erhalten, das in SpiceWorks installiert werden soll.

openssl req -new -key server.key -out server.csr

Folgen Sie den Anweisungen auf dem Bildschirm. Wenn Sie jedoch nach dem allgemeinen Namen gefragt werden, verwenden Sie die Domäne, die Spiceworks verwenden wird. Wenn beispielsweise SW auf spiceworks.domain.com ausgeführt werden soll, verwenden wir dies im Feld "Allgemeiner Name".

Dadurch wird eine Datei namens server.csr generiert.

Schritt 6: Generieren und unterschreiben Sie das neue Zertifikat

Jetzt haben wir ein gültiges Stamm-CA-Zertifikat und eine CSR für die Domäne, die wir verwenden möchten. Wir können es signieren und das von Spiceworks verwendete Zertifikat erstellen.

openssl ca -in /etc/ssl/certs/server.csr

Sie sollten jetzt nach der Passphrase gefragt werden, die Sie beim Einrichten der Stammzertifizierungsstelle erstellt haben, und dann die Details sehen, die Sie in die CSR eingegeben haben. Vergewissern Sie sich, dass die Details korrekt sind, und wählen Sie dann J, um das Zertifikat zu signieren, und dann erneut Y, um es zu bestätigen.

Wenn Sie jetzt in / etc / ssl / newcerts nachschauen, sollten Sie eine Datei mit dem Namen 01.pem sehen (abhängig davon, ob dies Ihr erstes Zertifikat ist oder nicht, kann es sich um eine höhere Nummer handeln).

Schritt 7: Installieren Sie das Zertifikat in Spiceworks

Jetzt haben wir das signierte Zertifikat, das wir in Spiceworks installieren können.
Spiceworks speichert seine SSL-Zertifikate im Ordner httpd ssl. Darin sollten Sie zwei Dateien sehen, beide mit der Erweiterung .pem.

** An dieser Stelle würde ich vorschlagen, eine Kopie dieser beiden Dateien zu erstellen, nur für den Fall, dass Sie sie zurücksetzen und wiederherstellen müssen. **

Öffnen Sie die Datei ssl-cert.pem mit Notepad ++ und löschen Sie den Inhalt. Kopieren Sie in dieser Datei den Inhalt Ihres neuen Zertifikats aus der Datei /etc/ssl/newcerts/01.pem. Kopieren Sie jedoch nicht alles, wir möchten nur den unteren Abschnitt von wo aus es beginnt ------ BEGIN CERTIFICATE -------.

Öffnen Sie die Datei ssl-private-key.pem und löschen Sie erneut den Inhalt. Kopieren Sie den Inhalt der Datei server.key, die Sie zum Generieren der ursprünglichen CSR verwendet haben.

Jetzt ist das SSL-Zertifikat installiert. Sie müssen Spiceworks neu starten, damit das neue Zertifikat geladen werden kann.
Wenn Sie jetzt versuchen, über HTTPS auf Spiceworks zuzugreifen, wird immer noch der Zertifikatfehler angezeigt. Wenn Sie sich jedoch den Inhalt des Zertifikats ansehen, sollten Sie jetzt sehen, dass es alle von Ihnen eingegebenen Details enthält.

Schritt 8: Installieren Sie das Root-CA-Zertifikat auf Ihrem PC

Wir sind jetzt bereit, die neue Stammzertifizierungsstelle, die wir zu Beginn erstellt haben, zu verteilen. Bevor wir dies tun können, müssen wir sie jedoch schnell in ein Format konvertieren, das von Windows verstanden werden kann.

openssl x509 -in cacert.pem -out cacert.crt

Kopieren Sie die .crt-Datei auf Ihren PC, klicken Sie mit der rechten Maustaste und wählen Sie "Installieren". Stellen Sie sicher, dass Sie sie im Speicher für vertrauenswürdige Stammzertifizierungsstellen installieren. Andernfalls funktioniert sie nicht ordnungsgemäß.

Schließen Sie schließlich den Internet Explorer und öffnen Sie ihn erneut. Jetzt sollten Sie in der Lage sein, über SSL zu Ihrer Spiceworks-Installation zu navigieren und keine Fehler oder Warnungen zu erhalten (IE sollte das Vorhängeschloss-Symbol in der Adressleiste anzeigen).

Vorausgesetzt, Sie haben es soweit geschafft und alles funktioniert, und Sie sind bereit, Ihr neues Root-CA-Zertifikat auf jeden PC in Ihrem Unternehmen zu verteilen, ist der einfachste Weg, dies über eine Gruppenrichtlinie zu tun (Sie müssen die neue Root-CA erneut exportieren Windows in ein anderes Format um dies zu tun), aber ich überlasse es einem anderen How-To.

Ich hoffe, das war nicht zu viel gelesen und hat einen gewissen Sinn ergeben. Damit dies funktioniert, musste ich ein paar verschiedene Guides zusammenstellen und dann selbst experimentieren.

Wenn Sie Fragen haben, wenden Sie sich bitte an die Kommentare. Ich bin kein SSL-Experte, aber ich werde versuchen und helfen :)