summaryrefslogtreecommitdiff
path: root/content/posts/2023-07-24-tls/index.md
diff options
context:
space:
mode:
Diffstat (limited to '')
-rw-r--r--content/posts/2023-07-24-tls/index.md (renamed from content/posts/2023-07-24-tls.md)20
1 files changed, 7 insertions, 13 deletions
diff --git a/content/posts/2023-07-24-tls.md b/content/posts/2023-07-24-tls/index.md
index 43ee345..edcf4c3 100644
--- a/content/posts/2023-07-24-tls.md
+++ b/content/posts/2023-07-24-tls/index.md
@@ -1,11 +1,11 @@
---
categories:
-- Без рубрики
-date: '2023-07-24T20:04:17Z'
+ - Без рубрики
+date: "2023-07-24T20:04:17Z"
tags:
-- it
-- Россия
-- TLS
+ - it
+ - Россия
+ - TLS
title: Немного мыслей о TLS (HTTPS) в России
---
@@ -48,9 +48,6 @@ title: Немного мыслей о TLS (HTTPS) в России
собственного удостоверяющего центра 🙂 А доверять ему или не доверять — дело
посетителей сайта.
-Если доверяете мне то [вот сертификат моего УЦ](/files/root_ca.crt), а установка
-такая же как сертификата Минцифры 🙂
-
Ну и совсем краткая инструкция как выпустить сертификат для себя:
1. `openssl genrsa -out root_ca.key 4096` — создание секретного ключа УЦ (должен
@@ -62,7 +59,7 @@ title: Немного мыслей о TLS (HTTPS) в России
3. `openssl genrsa -out server.key 4096` — создаем секретный ключ уже для
конкретного сайта (и поддоменов)
4. `openssl req -new -key server.key -subj "/CN=neonxp.ru/CN=*.neonxp.ru" -out
- server.csr` — генерируем файл запроса для конкретного сайта
+server.csr` — генерируем файл запроса для конкретного сайта
5. Создаем файл `openssl.cnf` с примерно таким содержимым:
```
[SAN]
@@ -72,7 +69,7 @@ title: Немного мыслей о TLS (HTTPS) в России
DNS.2 = *.neonxp.ru
```
6. И, наконец, создаем сертификат для сайта, который будет подписан ключами
- server.key и root\_ca.key (то есть и своим удостоверяющим центром тоже):
+ server.key и root_ca.key (то есть и своим удостоверяющим центром тоже):
```
openssl x509 -req -in server.csr -CA root_ca.crt -CAkey root_ca.key -CAcreateserial -out server.crt -days 365 -extensions SAN -extfile openssl.cnf
```
@@ -80,6 +77,3 @@ title: Немного мыслей о TLS (HTTPS) в России
В общем, всё. Полученные root_ca.crt (но не root_ca.key!), server.key и
server.crt можно вносить в конфигурацию используемого вебсервера. А так же
внести root_ca.crt в доверенные для себя.
-
-Так у меня выглядят [сертификат на сайт](/img/posts/20230724_204209.webp) и
-[сертификат УЦ](/img/posts/20230724_204325.webp). \ No newline at end of file
generated by cgit v1.2.3 (git 2.25.1) at 2026-02-09 11:22:36 +0000