Tuesday, June 2, 2015

Certificate renewal on Unix box


What are web site certificates?
If an organization wants to have a secure web site that uses encryption, it needs to obtain a site, or host, certificate. There are two elements that indicate that a site uses encryption:

  •  a closed padlock, which, depending on your browser, may be located in the status bar at the bottom of your browser window or at the top of the browser window between the address and search fields
  • a URL that begins with "https:" rather than "http:"
By making sure a web site encrypts your information and has a valid certificate, you can help protect yourself against attackers who create malicious sites to gather your information.


 RAISING A CERTIFICATE REQUEST

1. Run the command for extracting server key (server.key)
/home/u2/neha>openssl genrsa -out server.key 2048
Generating RSA private key, 2048 bit long modulus
.........+++
..................+++
e is 65537 (0x10001)
   this will give a file named 'server.key'

2. generate .csr file
home/u2/neha>openssl req -new -key server.key -out server.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:Global
Common Name (eg, YOUR name) []:
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

/home/u2/neha>ls -lrt
-r-xr-x--x    1 neha  staff        990930 Aug 21 11:54 openssl
-rw-r-----    1 neha   staff          1675 Aug 21 11:54 server.key
-rw-r-----    1 neha   staff          1074 Aug 21 11:58 server.csr


/home/u2/neha>cat server.csr
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----


3.   get these files on Desktop by FTP from path of server to Desktop. The mode of FTP should be ASCII  while doing get

4.   Send server.crt file to personnel in a organisation who can get this certified

5. Person sends back the crt file in this form

Web Server CERTIFICATE
-----------------

-----BEGIN CERTIFICATE-----
MIIEfzCCA2egAwIBAgIDA35GMA0GCSqGSIb3DQEBBQUAMGExCzAJBgNVBAYTAlVT
blablablablavlablablablablablablablablablablablablavlablablablablablablablabla
blablablablavlablablablablablablablablavblablablablavlablablablablablablablabla
blablablablavlablablablablablablablablablablablablavlablablablablablablablabla
blablablablavlablablablablablablablablavblablablablavlablablablablablablablabla
blablablablavlablablablablablablablablablablablablavlablablablablablablablabla
blablablablavlablablablablablablablablavblablablablavlablablablablablablablabla
blablablablavlablablablablablablablablablablablablavlablablablablablablablabla
blablablablavlablablablablablablablablavblablablablavlablablablablablablablabla
blablablablavlablablablablablablablablablablablablavlablablablablablablablabla
blablablablavlablablablablablablablablavblablablablavlablablablablablablablabla
blablablablavlablablablablablablablablablablablablavlablablablablablablablabla
blablablablavlablablablablablablablablavblablablablavlablablablablablablablabla
blablablablavlablablablablablablablablablablablablavlablablablablablablablabla
blablablablavlablablablablablablablablavblablablablavlablablablablablablablabla
gjtMTuAyx1SL5laTTjgZ+7kB+JKzKuEuA2x+PZlLOOgE+FyQIwqwZbhK1wqJNh7J
weCs
-----END CERTIFICATE-----


INTERMEDIATE CA: 
---------------------------------------

-----BEGIN CERTIFICATE-----
MIID+jCCAuKgAwIBAgIDAjbSMA0GCSqGSIb3DQEBBQUAMEIxCzAJBgNVBAYTAlVT
blablablablavlablablablablablablablablablablablablavlablablablablablablablabla
blablablablavlablablablablablablablablavblablablablavlablablablablablablablabla
blablablablavlablablablablablablablablablablablablavlablablablablablablablabla
blablablablavlablablablablablablablablavblablablablavlablablablablablablablabla
blablablablavlablablablablablablablablablablablablavlablablablablablablablabla
blablablablavlablablablablablablablablavblablablablavlablablablablablablablabla
blablablablavlablablablablablablablablablablablablavlablablablablablablablabla
blablablablavlablablablablablablablablavblablablablavlablablablablablablablabla
blablablablavlablablablablablablablablablablablablavlablablablablablablablabla
blablablablavlablablablablablablablablavblablablablavlablablablablablablablabla
blablablablavlablablablablablablablablablablablablavlablablablablablablablabla
blablablablavlablablablablablablablablavblablablablavlablablablablablablablabla
blablablablavlablablablablablablablablablablablablavlablablablablablablablabla
blablablablavlablablablablablablablablavblablablablavlablablablablablablablabla
TezMGnGkqX2Gdgd+DYSuUuVlZzQzmwwpxb79k1ktl8qFJymyFWOIPllByTMOAVM
IIi0tWeUz12OYjf+xLQ=
-----END CERTIFICATE-----

6. Convert the txt files in CRT mode 

7. Copy the txt from BEGIN CERTIFICATE up to END CERTIFICATE. Including "-----BEGIN CERTIFICATE-----, -----END CERTIFICATE-----"

8. Save it on notepad with file name "server.crt” and "geotrust_intermediat.crt" on desktop. Format of txt will be changed to crt like server.crt and geotrust_intermediate.crt

10. Now, again do FTP and put the files server.crt and Geotrust_Intermediate.crt to home folder of UNIX server on which certs needs to be deployed.    Rename it with instance name – instance1.crt and geotrust_intermediate.crt. FTP to UNIX server must be BIN mode, not ASCII mode.

or 

Request UNIX team to put the files, server. Key, crt file and geotrust intermediate file.
In specified path 

11. change the ownership and group of files .
Note: The ownership and group will be same as it mentioned with old files in specified logs.

12. Exit from the ID of instance and then Bounce the apache with your own ID.

 13. Check validity of certificate

  /export/apps/apache/OpenSSL/0.9.8.g/bin/openssl x509 -noout -in ./app.crt -startdate -enddate
notBefore=Apr 28 14:37:30 2015 GMT
notAfter=May  1 11:49:37 2016 GMT

How do you check a certificate of site?
Following are the points to see the security certificate of the website
1.       Open the site
2.       Right on the site
3.       Choose the property >Certificate
4.       Certificate contain start and expire date

at

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)