Sudah banyak yang ditulis tentang menginstal sertifikat SSL di server web, dan biasanya pertanyaan ini tidak sulit bagi administrator sistem. Namun, tepat sebelum pemasangan, ada baiknya melakukan beberapa pemeriksaan agar tidak merenungkan yang menjengkelkan "Sertifikat keamanan situs tidak tepercaya!" (Sertifikat keamanan situs tidak tepercaya!). Ini terutama benar ketika Anda menerima sertifikat bukan dari registrar, tetapi dari pelanggan, yang dapat, misalnya, mencampur kunci pribadi atau mengirim sertifikat dalam format editor teksnya dengan penambahan pemformatan sampah.
Dengan demikian, agar semuanya berfungsi segera, disarankan untuk melakukan beberapa pemeriksaan sebelum menginstal sertifikat SSL.
Jadi, mari kita mulai ...
1. Periksa integritas sertifikat:
openssl x509 -noout -modulus -in certificate.crt
Jika kita mendapatkan modulnya di output, maka integritas sertifikat tidak rusak. Jika tidak, akan ada kesalahan: "tidak dapat memuat sertifikat".
2. Demikian pula, kami memeriksa integritas kunci pribadi:
openssl rsa -noout -modulus -in privatekey.key
3. Kami melihat masa berlaku sertifikat:
openssl x509 -noout -text -in certificate.crt | grep -e "Not Before" -e "Not After"
4.
Periksa sertifikat untuk pencabutan .
5. Periksa kesesuaian sertifikat dan kunci pribadi:
openssl x509 -noout -modulus -in certificate.crt | openssl md5 openssl rsa -noout -modulus -in privatekey.key | openssl md5
Jika hasilnya sama, maka sertifikat dan kunci pribadi cocok satu sama lain.
Otomasi
Jika Anda perlu menginstal beberapa sertifikat SSL per tahun, maka perintah di atas cukup. Namun, ketika Anda harus bekerja dengan sertifikat secara teratur, yang terbaik adalah menggunakan skrip yang sudah jadi. Sebagai contoh, saya berani menyarankan
pengembangan saya sendiri di bawah bash. Script akan melakukan semua tindakan ini tanpa gerakan yang tidak perlu dari Anda (diuji di Ubuntu, tetapi kemungkinan besar itu akan bekerja di distribusi Linux lainnya).
wget https://raw.githubusercontent.com/o-pod/security/master/ssl-check-matching.sh chmod a+x ssl-check-matching.sh wget https://raw.githubusercontent.com/o-pod/security/master/ssl-check-revoc.sh chmod a+x ssl-check-revoc.sh
Memeriksa sertifikat dan kunci pribadi untuk integritas dan kepatuhan satu sama lain:
./ssl-check-matching.sh certificate.crt privatekey.key -v
Memeriksa masa berlaku sertifikat dan tidak adanya dalam daftar pencabutan:
./ssl-check-revoc.sh -f certificate.crt -v
Tes yang dijelaskan di atas mencakup masalah pemasangan sertifikat SSL yang pernah saya temui dalam praktek. Tetapi jika Anda berpikir bahwa ada baiknya memeriksa parameter lain, berbagi dalam komentar, saya akan berterima kasih.