Selasa, 19 Juni 2012

Cara Generate Self-Signed SSL Certificate Menggunakan OpenSSL



Sertifikat SSL ini diperlukan sebagai pengaman jalur komunikasi web service maupun protocol lainnya.   Untuk sertifikat SSL ini bisa didapatkan dengan cara membeli dari penyedia ssl sertificate seperti Verisign certificates dari Symantec atau bisa juga di generate sendiri dari server linux dengan menggunakan openssl.

Pertama kali yang harus dilakukan adalah melakukan instalasi openssl, jika di Centos menggunakan perintah : 

# yum install openssl

dan di Ubuntu menggunakan perintah :

$ sudo apt-get install openssl

Setelah dilakukan instalasi maka kita harus melakukan generate ssl certificate nya :

1. Jalankan perintah berikut untuk generate key store baru yang kita namakan “server.key”

# openssl genrsa -des3 -out /tmp/server.key 2048

2. Jalankan perintah berikut ini untuk request  SSL certificate baru :

# openssl req -new -x509 -nodes -sha1 -days 1095 -key /tmp/server.key > /tmp/server.crt
# openssl x509 -noout -fingerprint -text < /tmp/server.crt > /tmp/server.info

3. Jalankan perintah berikut untuk backup file key store :

# cp /tmp/server.key /tmp/server.key.bak

4. Jalankan perintah berikut jika kamu butuh untuk generate file PEM dimana didalamnya ada chain dari kedua key store dan public key dalam satu file:

# cat /tmp/pwd.server.key /tmp/server.crt > /tmp/pwd.server.pem

Selesai..

Dan bagaimana caranya jika certificate baru yang harus di insert ke server kita. cara untuk melakukan import certificate baru kedalam server kita, hal ini dapat menggunakan java keytool :

# keytool -import -trustcacerts -file new-key.crt -alias CA_ALIAS -keystore /usr/lib/jvm/java-1.6.0-openjdk-1.6.0.0.x86_64/jre/lib/security/cacerts
Enter keystore password:   = changeit

Certificate fingerprints:
MD5:  24:18:D9:02:C5:A0:AE:4F:F8:BE:DF:06:55:CD:B7:5E
SHA1: 57:97:BB:39:F2:4D:6A:EE:F7:A4:2A:D5:38:5B:6A:B7:5D:78:A0:95
Signature algorithm name: SHA1withRSA
Version: 1
Trust this certificate? [no]:  yes
Certificate was added to keystore

Maka sertifikat baru tersebut sudah kita import ke server kita.

Catatan ini saya dedikasikan sebagai dokumentasi pribadi dan semoga bermanfaat juga buat teman semua.


Dony Ramansyah
site : http://dony-ramansyah.bravehost.com
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171
Posted by at
Labels: ,

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)