27.6. Gerando uma Chave

Você deve estar como root para gerar uma chave.

Primeiro, cd para o diretório /etc/httpd/conf/. Remova a chave e certificado falsos, que foram gerados durante a instalação, com os seguintes comandos:

rm ssl.key/server.key
rm ssl.crt/server.crt

Em seguida, é necessário criar sua própria chave randômica. Mude para o diretório /usr/share/ssl/certs/ e digite o seguinte comando:

make genkey

Seu sistema exibe uma mensagem similar à seguinte:

umask 77 ; \
/usr/bin/openssl genrsa -des3 1024 > /etc/httpd/conf/ssl.key/server.key
Generating RSA private key, 1024 bit long modulus
.......++++++
................................................................++++++
e is 65537 (0x10001)
Enter pass phrase:

Agora, você precisa digitar uma senha. Para maoir segurança, esta deve conter no mínimo oito caracteres, incluir números e/ou pontuação, e não ser uma palavra de dicionário. Também lembre-se que sua senha é sensível a letras maiúsculas e minúsculas.

NotaNota
 

Você deve lembrar e inserir esta senha toda vez que iniciar seu servidor seguro, portanto não esqueça dela.

Re-digite a senha para verificar que está correta. Após digitá-la corretamente, o arquivo /etc/httpd/conf/ssl.key/server.key, contendo sua chave, é criado.

Note que se você não deseja inserir uma senha toda vez que iniciar seu servidor seguro, precisa usar os dois comandos a seguir ao invés do make genkey para criar a chave.

Use o seguinte comando para criar sua chave:

/usr/bin/openssl genrsa 1024 > /etc/httpd/conf/ssl.key/server.key

Então use o seguinte comando para garantir que as permissões do arquivo estejam definidas corretamente:

chmod go-rwx /etc/httpd/conf/ssl.key/server.key

Após usar os comandos acima para criar sua chave, você não precisa mais usar uma senha para iniciar seu servidor seguro.

CuidadoAtenção
 

Desabilitar a funcionalidade da senha do seu servidor seguro é um risco de segurança. NÃO é recomendado desabilitar a funcionalidade da senha para seu servidor seguro.

Os problemas associados com a falta do uso da senha são diretamente relacionados à segurança mantida na máquina hospedeira. Por exemplo: se um indivíduo inescrupuloso comprometer a segurança UNIX regular da máquina hospedeira, esta pessoa pode obter sua chave particular (o conteúdo de seu arquivo server.key). A chave pode ser usada para oferecer páginas web que parecem ser do seu servidor seguro.

Se as práticas de segurança do UNIX forem rigorosamente mantidas no computador hospedeiro (todos os consertos e atualizações do sistema operacional baixados assim que são lançados, sem operar serviços arriscados ou desnecessários e assim por diante), a senha do servidor seguro pode parecer desnecessária. No entanto, como seu servidor seguro não deve ser reiniciado com frequência, a segurança extra provida pela senha pode valer a pena na maioria dos casos.

O arquivo server.key deve ser de propriedade do usuário root do seu sistema e não deve ser acessível para nenhum outro usuário. Faça um cópia backup deste arquivo e guarde-a num lugar seguro e protegido. Você precisa da cópia backup porque se algum dia perder o arquivo server.key após usá-lo para criar seu pedido de certificado, seu certificado não funcionará mais e a CA não terá como te ajudar. Sua única opção é pedir (e pagar por) um novo certificado.

Se pretende adquirir um certificado de uma CA, continue na Seção 27.7. Se pretende gerar seu próprio certificado auto-assinado, continue na Seção 27.8.