Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00198 009144 10485862 na godz. na dobę w sumie
Sieci VPN. Zdalna praca i bezpieczeństwo danych - książka
Sieci VPN. Zdalna praca i bezpieczeństwo danych - książka
Autor: Liczba stron: 160
Wydawca: Helion Język publikacji: polski
ISBN: 83-246-1521-0 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> sieci komputerowe >> konfiguracja sieci
Porównaj ceny (książka, ebook, audiobook).

Poznaj i wykorzystaj w praktyce metody korzystania z sieci VPN

Serwery plików i baz danych spotykamy niemal w każdej firmie. Architektura klient-serwer umożliwia dostęp do aplikacji nie tylko wewnątrz firmy, ale także z dowolnego innego miejsca. Rozwój sieci pozwolił wielu organizacjom na sprawną komunikację i otworzył perspektywy dla tych pracowników, którzy z różnych względów wykonują swoje obowiązki poza biurem. Niestety -- zdalny dostęp do firmowej infrastruktury IT niesie ze sobą także zagrożenia związane z możliwością utraty, uszkodzenia lub wydostania się na zewnątrz cennych danych. Rozwiązaniem tego problemu są łącza szyfrowane, nazywane VPN.

Książka 'Sieci VPN. Zdalna praca i bezpieczeństwo danych' to praktyczny przewodnik dla administratorów sieci firmowych, którzy zajmują się wdrażaniem rozwiązań umożliwiających pracę na odległość. Opisuje wszystkie aspekty konfigurowania tuneli VPN z wykorzystaniem protokołów SSL (OpenVPN) i IPSec (OpenSWAN) w systemach Linux i Windows. Czytając ją, poznasz standard SSL, zasady generowania certyfikatów oraz metody implementacji sieci VPN. Analizując zawarte w książce przykłady, nauczysz się otwierać zdalny dostęp do sieci korporacyjnej, łączyć oddziały firmy za pomocą IPSec i uruchamiać tunele VPN w urządzeniach mobilnych.

Zabezpiecz dostęp do swojej sieci.
Skorzystaj z wiedzy doświadczonego administratora.

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

Sieci VPN. Zdalna praca i bezpieczeæstwo danych Autor: Marek Serafin ISBN: 978-83-246-1521-6 Format: B5, stron: 160 Poznaj i wykorzystaj w praktyce metody korzystania z sieci VPN (cid:149) Na czym opiera siŒ standard SSL? (cid:149) Jak zestawia(cid:230) tunele VPN w systemach Windows i Linux? (cid:149) Jak po‡„czy(cid:230) oddzia‡y firm za pomoc„ tunelu IPSec? Serwery plik(cid:243)w i baz danych spotykamy niemal w ka¿dej firmie. Architektura klient-serwer umo¿liwia dostŒp do aplikacji nie tylko wewn„trz firmy, ale tak¿e z dowolnego innego miejsca. Rozw(cid:243)j sieci pozwoli‡ wielu organizacjom na sprawn„ komunikacjŒ i otworzy‡ perspektywy dla tych pracownik(cid:243)w, kt(cid:243)rzy z r(cid:243)¿nych wzglŒd(cid:243)w wykonuj„ swoje obowi„zki poza biurem. Niestety (cid:150) zdalny dostŒp do firmowej infrastruktury IT niesie ze sob„ tak¿e zagro¿enia zwi„zane z mo¿liwo(cid:156)ci„ utraty, uszkodzenia lub wydostania siŒ na zewn„trz cennych danych. Rozwi„zaniem tego problemu s„ ‡„cza szyfrowane, nazywane VPN. Ksi„¿ka (cid:132)Sieci VPN. Zdalna praca i bezpieczeæstwo danych(cid:148) to praktyczny przewodnik dla administrator(cid:243)w sieci firmowych, kt(cid:243)rzy zajmuj„ siŒ wdra¿aniem rozwi„zaæ umo¿liwiaj„cych pracŒ na odleg‡o(cid:156)(cid:230). Opisuje wszystkie aspekty konfigurowania tuneli VPN z wykorzystaniem protoko‡(cid:243)w SSL (OpenVPN) i IPSec (OpenSWAN) w systemach Linux i Windows. Czytaj„c j„, poznasz standard SSL, zasady generowania certyfikat(cid:243)w oraz metody implementacji sieci VPN. Analizuj„c zawarte w ksi„¿ce przyk‡ady, nauczysz siŒ otwiera(cid:230) zdalny dostŒp do sieci korporacyjnej, ‡„czy(cid:230) oddzia‡y firmy za pomoc„ IPSec i uruchamia(cid:230) tunele VPN w urz„dzeniach mobilnych. (cid:149) Zagro¿enia wynikaj„ce z konstrukcji protoko‡u TCP/IP (cid:149) Przesy‡anie danych z wykorzystaniem SSL (cid:149) Zapewnianie pracownikom zdalnego dostŒpu do zasob(cid:243)w firmy (cid:149) Generowanie kluczy (cid:149) Tworzenie tuneli SSH (cid:149) Instalacja i konfiguracja programu OpenVPN (cid:149) Tunele VPN w urz„dzeniach mobilnych (cid:149) Implementacja IPSEC/L2TP w systemie Linux (cid:149) Konfiguracja VPN w systemie Windows Zabezpiecz dostŒp do swojej sieci. Skorzystaj z wiedzy do(cid:156)wiadczonego administratora Wydawnictwo Helion ul. Ko(cid:156)ciuszki 1c 44-100 Gliwice tel. 032 230 98 63 e-mail: helion@helion.pl Spis tre(cid:264)ci Przedmowa ...................................................................................... 7 Rozdzia(cid:228) 1. Wst(cid:246)p .............................................................................................. 9 Rozdzia(cid:228) 2. S(cid:228)abo(cid:264)(cid:232) protoko(cid:228)ów sieciowych i zwi(cid:241)zane z tym problemy .............. 11 Rozdzia(cid:228) 3. SSL jako standard bezpiecznego przesy(cid:228)ania danych ........................ 13 3.1. Historia i znaczenie protoko(cid:225)u SSL ......................................................................... 13 3.1.1. Przebieg nawi(cid:261)zania po(cid:225)(cid:261)czenia SSL .......................................................... 14 3.1.2. Znaczenie zaufanego certyfikatu ................................................................ 15 3.2. Generowanie certyfikatów przy u(cid:298)yciu programu OpenSSL .................................. 16 3.2.1. Tworzenie w(cid:225)asnego CA ............................................................................. 16 3.2.2. Tworzenie klucza prywatnego dla serwera ................................................. 18 3.2.3. Generowanie wniosku o wystawienie certyfikatu ....................................... 18 3.2.4. Wystawianie certyfikatu dla serwera .......................................................... 19 3.2.5. (cid:285)ci(cid:261)ganie has(cid:225)a z klucza prywatnego serwera ............................................ 20 3.2.6. Uniewa(cid:298)nianie certyfikatów ....................................................................... 20 3.2.7. Generowanie listy CRL (uniewa(cid:298)nionych certyfikatów) ............................ 21 3.2.8. Ró(cid:298)ne formaty certyfikatów ....................................................................... 21 3.3. Kompilacja biblioteki openssl ze (cid:296)róde(cid:225) .................................................................. 22 Rozdzia(cid:228) 4. Tunelowanie portów ....................................................................... 25 4.1. Program Stunnel ...................................................................................................... 26 4.1.1. stunnel.conf ................................................................................................ 29 4.1.2. Przyk(cid:225)ad 1 ................................................................................................... 31 4.1.3. Przyk(cid:225)ad 2 ................................................................................................... 33 4.2. Tunele SSH ............................................................................................................. 35 4.2.1. Przyk(cid:225)ad 1 ................................................................................................... 35 4.2.2. Przyk(cid:225)ad 2 — SSH jako Socks Proxy ......................................................... 37 4.2.3. Przyk(cid:225)ad 3 — tunele z przekazywaniem zdalnym ...................................... 37 4.2.4. Przyk(cid:225)ad 4 — tunel UDP po SSH ............................................................... 41 Rozdzia(cid:228) 5. OpenVPN — praktyczna implementacja tuneli VPN .......................... 45 5.1. Instalacja ................................................................................................................. 45 5.1.1. Instalacja w systemie Linux Debian ........................................................... 46 5.1.2. Instalacja przez kompilacj(cid:266) (cid:296)róde(cid:225) programu (Linux) ................................ 46 5.1.3. Instalacja pod systemami MS Windows ..................................................... 50 5.2. Konfiguracja OpenVPN .......................................................................................... 52 4 Sieci VPN. Zdalna praca i bezpiecze(cid:254)stwo danych 5.3. Praktyczny przyk(cid:225)ad — zdalny dost(cid:266)p do zasobów firmy dla pracowników .......... 53 5.3.1. Generowanie certyfikatów SSL .................................................................. 54 5.3.2. Konfiguracja po stronie serwera ................................................................. 55 5.3.3. Uruchomienie us(cid:225)ugi serwera OpenVPN .................................................... 57 5.3.4. Konfiguracja klienta ................................................................................... 58 5.4. Bardziej z(cid:225)o(cid:298)ona konfiguracja z wieloma u(cid:298)ytkownikami ...................................... 59 5.4.1. Przypisywanie sta(cid:225)ych adresów IP u(cid:298)ytkownikom ..................................... 62 5.4.2. Pliki ustawie(cid:276) u(cid:298)ytkowników w katalogu ccd ............................................ 62 5.4.3. Tworzenie pliku dostep.txt ......................................................................... 63 5.4.4. Testowanie .................................................................................................. 64 5.4.5. Logowanie zdarze(cid:276) do pliku ....................................................................... 65 5.5. Uniewa(cid:298)nianie certyfikatów .................................................................................... 67 5.6. (cid:224)(cid:261)czenie oddzia(cid:225)ów firmy ....................................................................................... 68 5.6.1. Przyk(cid:225)ad rozwi(cid:261)zania z routerem ................................................................ 69 5.6.2. Tunel VPN z mostkowaniem ...................................................................... 73 5.6.3. Tunel VPN z mostkowaniem w Windows XP ............................................ 78 5.7. OpenVPN w Windows Server z uwierzytelnianiem przez Active Directory .......... 80 5.7.1. Konfiguracja serwera .................................................................................. 81 5.7.2. Konfiguracja klienta ................................................................................... 83 5.8. OpenVPN w systemach Windows Mobile (PDA) ................................................... 84 5.8.1. Instalacja ..................................................................................................... 85 Rozdzia(cid:228) 6. IPSec ............................................................................................. 89 6.1. IPSec a translacja adresów (maskarada) .................................................................. 92 6.2. IPSec — przygotowanie (cid:286)rodowiska w systemie Linux .......................................... 93 6.2.1. Instalacja programu OpenSWAN .................................................................. 94 6.3. Praktyczny przyk(cid:225)ad — brama IPSec/VPN dla u(cid:298)ytkowników mobilnych ............. 95 6.3.1. Konfiguracja bramy IPSec (Linux) ............................................................. 96 6.4. Konfiguracja klienta Windows .............................................................................. 101 6.5. Debugowanie po(cid:225)(cid:261)czenia ...................................................................................... 104 6.6. Konfiguracja z uwierzytelnieniem przez certyfikaty ............................................. 106 6.6.1. Konfiguracja OpenSWAN z wykorzystaniem certyfikatów ..................... 106 6.7. Import certyfikatów w systemie Windows ............................................................ 108 6.7.1. Konfiguracja po(cid:225)(cid:261)czenia ........................................................................... 112 6.8. Dost(cid:266)p z urz(cid:261)dze(cid:276) PDA — Windows Mobile 2003, 2005, 2006 ............................. 116 6.8.1. Konfiguracja Windows Mobile z kluczem wspó(cid:225)dzielonym (PSK) ......... 116 6.8.2. Konfiguracja Windows Mobile z certyfikatami ........................................ 117 6.9. (cid:224)(cid:261)czenie oddzia(cid:225)ów firmy tunelem IPSec ............................................................. 119 Rozdzia(cid:228) 7. Windows Server 2003 jako brama VPN/IPSec ............................... 125 7.1. Konfiguracja us(cid:225)ugi Routing i dost(cid:266)p zdalny ........................................................ 126 7.2. Konfiguracja klienta .............................................................................................. 132 7.3. Dost(cid:266)p do VPN na podstawie cz(cid:225)onkostwa w grupie ............................................ 133 Rozdzia(cid:228) 8. (cid:227)(cid:241)czenie oddzia(cid:228)ów firmy z wykorzystaniem systemów Windows Server 2003 .............. 139 8.1. Konfiguracja lokalizacji 1 — Gliwice ................................................................... 140 8.2. Konfiguracja lokalizacji 2 — Bytom .................................................................... 145 8.3. Konfiguracja zabezpiecze(cid:276) IPSec ......................................................................... 145 8.4. Debugowanie po(cid:225)(cid:261)czenia ...................................................................................... 147 Rozdzia(cid:228) 9. Podsumowanie ............................................................................. 149 Skorowidz .................................................................................... 153 Rozdzia(cid:228) 3. SSL jako standard bezpiecznego przesy(cid:228)ania danych 3.1. Historia i znaczenie protoko(cid:228)u SSL W odpowiedzi na problemy zwi(cid:261)zane z brakiem zabezpiecze(cid:276) w popularnych protoko- (cid:225)ach internetowych firma Netscape Communications Corporation w latach 90. ubie- g(cid:225)ego wieku opracowa(cid:225)a protokó(cid:225) SSL. Obecnie najpopularniejsza jest wersja trzecia protoko(cid:225)u — SSL 3, poniewa(cid:298) wcze(cid:286)niejsze implementacje zawiera(cid:225)y kilka b(cid:225)(cid:266)dów. W 1996 roku za spraw(cid:261) IETF (ang. Internet Engineering Task Force) powsta(cid:225)a grupa robocza TLS (ang. Transport Layer Security), która ma za zadanie rozwija(cid:252) oraz pu- blikowa(cid:252) standard SSL. W za(cid:225)o(cid:298)eniach SSL powsta(cid:225) jako zabezpieczenie do protoko(cid:225)u http dla potrzeb us(cid:225)ug e-commerce. Jednak dzi(cid:266)ki jego uniwersalno(cid:286)ci mo(cid:298)na wykorzysta(cid:252) go do zabezpie- czenia wi(cid:266)kszo(cid:286)ci us(cid:225)ug TCP, a nawet do tworzenia sieci VPN, co zostanie przedsta- wione w niniejszej ksi(cid:261)(cid:298)ce. Protokó(cid:225) SSL zapewnia nast(cid:266)puj(cid:261)ce podstawowe funkcje bezpiecze(cid:276)stwa: (cid:141) uwierzytelnianie stron — czyli potwierdzenie ich autentyczno(cid:286)ci na podstawie certyfikatów, (cid:141) poufno(cid:286)(cid:252) i integralno(cid:286)(cid:252) przesy(cid:225)u — tzn. ochron(cid:266) przed pods(cid:225)uchaniem i modyfikacj(cid:261). Proces uwierzytelniania przebiega przy u(cid:298)yciu asymetrycznych algorytmów kryp- tograficznych. W zwi(cid:261)zku z powy(cid:298)szym ka(cid:298)da ze stron musi posiada(cid:252) swój w(cid:225)asny klucz prywatny (tajny) oraz klucz publiczny (certyfikat). 14 Sieci VPN. Zdalna praca i bezpiecze(cid:254)stwo danych Po pozytywnym uwierzytelnieniu stron nast(cid:266)puje wymiana danych przy u(cid:298)yciu którego(cid:286) z ustalonych, symetrycznych algorytmów kryptograficznych (s(cid:261) znacznie szybsze). Aby mo(cid:298)liwe by(cid:225)o potwierdzenie autentyczno(cid:286)ci strony bior(cid:261)cej udzia(cid:225) w komunika- cji, np. serwera, musi ona wylegitymowa(cid:252) si(cid:266) certyfikatem podpisanym przez zaufane centrum certyfikacji (ang. CA — Certificate Authority). CA to zaufana instytucja, która zajmuje si(cid:266) wystawianiem certyfikatów. Do jej obo- wi(cid:261)zków nale(cid:298)y sprawdzenie prawnych podstaw wnioskowania podmiotu o certyfikat. Chodzi tu g(cid:225)ównie o prawo do nazwy firmy, nazwy domeny itd. Na certyfikat sk(cid:225)adaj(cid:261) si(cid:266) pola zawieraj(cid:261)ce nazw(cid:266) w(cid:225)a(cid:286)ciciela, nazw(cid:266) podmiotu, okres wa(cid:298)no(cid:286)ci, a tak(cid:298)e certyfikat g(cid:225)ównego i ewentualnie po(cid:286)rednich centrów certyfikacji — ca(cid:225)o(cid:286)(cid:252) stanowi tzw. (cid:286)cie(cid:298)k(cid:266) certyfikacji. 3.1.1. Przebieg nawi(cid:241)zania po(cid:228)(cid:241)czenia SSL Zanim protoko(cid:225)y warstwy aplikacji b(cid:266)d(cid:261) mog(cid:225)y wymienia(cid:252) dane w bezpieczny sposób, musi nast(cid:261)pi(cid:252) nawi(cid:261)zanie sesji SSL (ang. SSL handshake). Na SSL handshake sk(cid:225)ada si(cid:266) kilka faz negocjacji, które przedstawiono kolejno w punktach. 1. Klient (cid:225)(cid:261)czy si(cid:266) z serwerem i wysy(cid:225)a pakiet pocz(cid:261)tkowy Hello, a wraz z nim numer obs(cid:225)ugiwanej wersji SSL, obs(cid:225)ugiwane algorytmy szyfruj(cid:261)ce, algorytmy kompresji oraz losowy numer zwi(cid:261)zany z rozpocz(cid:266)t(cid:261) sesj(cid:261) (ID). 2. Serwer w odpowiedzi wysy(cid:225)a klientowi numer obs(cid:225)ugiwanej wersji SSL, obs(cid:225)ugiwane algorytmy szyfruj(cid:261)ce, a tak(cid:298)e swój certyfikat (klucz publiczny). 3. Na tym etapie klient sprawdza certyfikat serwera — czy jest wa(cid:298)ny oraz czy wystawi(cid:225) go zaufany urz(cid:261)d (CA). Protokó(cid:225) SSL przewiduje tak(cid:298)e mo(cid:298)liwo(cid:286)(cid:252) wys(cid:225)ania przez serwer (cid:298)(cid:261)dania o uwierzytelnienie klienta. Uwierzytelnianie to jest opcjonalne i stosuje si(cid:266) je w okre(cid:286)lonych warunkach. 4. W przypadku pozytywnego uwierzytelnienia serwera klient generuje 48-bajtow(cid:261) liczb(cid:266) zwan(cid:261) „pre-master secret” i szyfruje j(cid:261), u(cid:298)ywaj(cid:261)c przy tym klucza publicznego serwera (zawartego w certyfikacie serwera). Liczba „pre-master” sk(cid:225)ada si(cid:266) z 2 bajtów identyfikuj(cid:261)cych klienta oraz 46 bajtów losowych. 5. Serwer po otrzymaniu liczby „pre-master” odszyfrowuje j(cid:261), u(cid:298)ywaj(cid:261)c do tego swojego klucza prywatnego, i porównuje pierwsze 2 bajty identyfikuj(cid:261)ce klienta z danymi, które otrzyma(cid:225) w inicjacyjnym pakiecie Hello. 6. Je(cid:286)li jest wymagane uwierzytelnienie klienta, jest to robione w tej chwili. Wówczas klient musi przes(cid:225)a(cid:252) swój certyfikat. 7. Na podstawie ju(cid:298) wymienionych danych (m.in. pre-master key, losowe dane wygenerowane w punkcie 1.) serwer i klient generuj(cid:261) tzw. master key (znany tylko im). Rozdzia(cid:228) 3. (cid:105) SSL jako standard bezpiecznego przesy(cid:228)ania danych 15 8. Zarówno klient, jak i serwer na podstawie master-key generuj(cid:261) symetryczne klucze sesyjne, które umo(cid:298)liwiaj(cid:261) im szyfrowanie i sprawdzanie integralno(cid:286)ci przesy(cid:225)anych danych1. 9. Ko(cid:276)cz(cid:261)c handshake, klient przesy(cid:225)a do serwera wiadomo(cid:286)(cid:252) zaszyfrowan(cid:261) ustalonym kluczem sesyjnym. Wiadomo(cid:286)(cid:252) ta, nazywana ko(cid:276)cowym uzgodnieniem (ang. finished handshake), jest jako pierwsza szyfrowana tajnym kluczem. 10. Serwer odpowiada tak(cid:298)e wiadomo(cid:286)ci(cid:261) zaszyfrowan(cid:261) za pomoc(cid:261) wspólnego klucza. Od tej pory sesja SSL jest nawi(cid:261)zana. 3.1.2. Znaczenie zaufanego certyfikatu Co w praktyce oznacza, (cid:298)e dany certyfikat jest zaufany? Oznacza to tylko (a(cid:298)) tyle, (cid:298)e zosta(cid:225) wystawiony przez wiarygodne (zaufane) Centrum Certyfikacji CA. Wszystkie popularne przegl(cid:261)darki internetowe, programy pocztowe i inne aplikacje korzystaj(cid:261)ce z protoko(cid:225)u SSL maj(cid:261) „zaszyt(cid:261)” w sobie na sta(cid:225)e list(cid:266) zaufanych wystawców CA (ich certyfikaty). Dzi(cid:266)ki temu podczas nawi(cid:261)zywania po(cid:225)(cid:261)- czenia SSL aplikacja nie zg(cid:225)asza b(cid:225)(cid:266)du, rozpoznaj(cid:261)c, (cid:298)e certyfikat zosta(cid:225) wystawiony przez który(cid:286) z zaufanych CA. Certyfikaty wystawione przez zaufane CA maj(cid:261) znaczenie g(cid:225)ównie dla publicznych serwerów WWW, gdzie rozproszeni po ca(cid:225)ym (cid:286)wiecie klienci musz(cid:261) mie(cid:252) pewno(cid:286)(cid:252), (cid:298)e serwer, z którym si(cid:266) (cid:225)(cid:261)cz(cid:261), jest na pewno tym, za jaki si(cid:266) podaje (np. sklep inter- netowy). W przypadku tworzenia po(cid:225)(cid:261)cze(cid:276) VPN nic nie stoi na przeszkodzie, aby(cid:286) stworzy(cid:225) swoje CA i sam wystawia(cid:225) certyfikaty na w(cid:225)asne potrzeby. Mo(cid:298)esz przecie(cid:298) ufa(cid:252) certyfika- tom, które sam wygenerowa(cid:225)e(cid:286), i instalowa(cid:252) je na laptopach pracowników. W przeciwie(cid:276)stwie do serwera WWW i przegl(cid:261)darek internetowych w zastosowa- niach VPN-owych cz(cid:266)sto wa(cid:298)ne jest uwierzytelnienie klienta przez serwer (bram(cid:266) VPN). Nie chcemy przecie(cid:298), aby do sieci korporacyjnej móg(cid:225) pod(cid:225)(cid:261)czy(cid:252) si(cid:266) ktokolwiek na (cid:286)wiecie posiadaj(cid:261)cy klienta VPN, a jedynie osoby posiadaj(cid:261)ce odpowiednie certy- fikaty. Kolejny punkt tego rozdzia(cid:225)u zawiera opis programu OpenSSL wraz z przyk(cid:225)adami tworzenia kluczy, wniosków i certyfikatów. 1 Na podstawie master-key generowanych jest sze(cid:286)(cid:252) kluczy — trzy w kierunku serwer-klient i trzy w drug(cid:261) stron(cid:266). Klucze te s(cid:225)u(cid:298)(cid:261) do szyfrowania i sprawdzania integralno(cid:286)ci danych. Zainteresowanych Czytelników odsy(cid:225)am do dokumentacji dost(cid:266)pnej na stronie korporacji Netscape: http://wp.netscape.com/ eng/ssl3/draft302.txt. 16 Sieci VPN. Zdalna praca i bezpiecze(cid:254)stwo danych 3.2. Generowanie certyfikatów przy u(cid:276)yciu programu OpenSSL Wi(cid:266)kszo(cid:286)(cid:252) programów opisanych w tej ksi(cid:261)(cid:298)ce do uwierzytelniania stron wykorzystuje protokó(cid:225) SSL. Informacje zawarte w tym rozdziale, a w szczególno(cid:286)ci przyk(cid:225)ady ge- nerowania kluczy i certyfikatów X.509, wykorzystywane b(cid:266)d(cid:261) cz(cid:266)sto w dalszej cz(cid:266)(cid:286)ci ksi(cid:261)(cid:298)ki. Aby unikn(cid:261)(cid:252) wielokrotnego opisywania tych samych czynno(cid:286)ci w nast(cid:266)pnych rozdzia(cid:225)ach, b(cid:266)d(cid:266) odsy(cid:225)a(cid:225) Czytelnika do instrukcji zawartych w niniejszym punkcie. Do stworzenia w(cid:225)asnego CA, generowania kluczy, wniosków i certyfikatów b(cid:266)dziemy u(cid:298)ywali najpopularniejszej w (cid:286)wiecie „open source” biblioteki openssl. Biblioteka ta zawiera implementacj(cid:266) protoko(cid:225)ów SSL i TLS oraz wi(cid:266)kszo(cid:286)(cid:252) u(cid:298)ywanych algorytmów kryptograficznych. Korzysta z niej szereg znanych aplikacji wykorzystuj(cid:261)cych algo- rytmy szyfruj(cid:261)ce, jak np. OpenSSH, OpenVPN, ApacheSSL itp. Biblioteka openssl dostarczana jest standardowo wraz z popularnymi dystrybucjami Linuksa. Najprawdopodobniej bibliotek(cid:266) t(cid:266) masz zainstalowan(cid:261) w systemie. Aby si(cid:266) o tym przekona(cid:252), wpisz po prostu polecenie openssl. Powinien zg(cid:225)osi(cid:252) si(cid:266) znak za- ch(cid:266)ty programu: OpenSSL . W przeciwnym razie musisz j(cid:261) zainstalowa(cid:252) w sposób ty- powy dla swojej dystrybucji. Ostatecznie mo(cid:298)esz pobra(cid:252) (cid:296)ród(cid:225)a najnowszej wersji ze strony http://openssl.org i w(cid:225)asnor(cid:266)cznie skompilowa(cid:252) program. Wersja instalacyjna pod systemy Windows dost(cid:266)pna jest na stronie http://www.slproweb. com/products.html. Zanim przejdziemy do generowania certyfikatów dla serwerów i klientów, musimy stwo- rzy(cid:252) w(cid:225)asny Urz(cid:261)d Certyfikacji (CA). Na pocz(cid:261)tku dwie uwagi ogólne. Wa(cid:298)ne jest, aby(cid:286) swoje CA utworzy(cid:225) na jakim(cid:286) bezpiecznym komputerze od(cid:225)(cid:261)czonym od internetu albo przynajmniej za firewallem, tak aby nie by(cid:225) on bezpo(cid:286)rednio „wi- doczny” w internecie. Wa(cid:298)ne jest tak(cid:298)e regularne robienie kopii bezpiecze(cid:276)stwa wystawionych certyfikatów oraz ca(cid:225)ego katalogu „ssl”, tak aby w razie potrzeby mo(cid:298)na by(cid:225)o uniewa(cid:298)ni(cid:252) który(cid:286) z certyfikatów. Zak(cid:225)adam, (cid:298)e masz zainstalowany pakiet OpenSSL. Je(cid:298)eli nie, to musisz go zainsta- lowa(cid:252), u(cid:298)ywaj(cid:261)c mened(cid:298)era pakietów swojej dystrybucji, lub skompilowa(cid:252) program samodzielnie. 3.2.1. Tworzenie w(cid:228)asnego CA W pierwszej kolejno(cid:286)ci odnajdujemy plik openssl.cnf. Prawdopodobne lokalizacje tego pliku to: (cid:141) /etc/ssl/openssl.cnf — dla programu instalowanego z paczek (np. Debian), (cid:141) /usr/local/etc/openssl.cnf — w przypadku wersji kompilowanej r(cid:266)cznie, Rozdzia(cid:228) 3. (cid:105) SSL jako standard bezpiecznego przesy(cid:228)ania danych 17 (cid:141) C:\OpenSSL\bin — dla systemów Win32. W pliku tym odnajdujemy sekcj(cid:266) [ CA_default ]. Zmie(cid:276) wpisy u siebie tak, aby wy- gl(cid:261)da(cid:225)y jak te z listingu 3.2.1.1. Listing 3.2.1.1. Wycinek pliku openssl.cnf [ CA_default ] dir = /etc/ssl # g(cid:225)ówny katalog, w którym zapisywane s(cid:261) pliki certs = /etc/ssl/certs # katalog, w którym zapisywane s(cid:261) certyfikaty crl_dir = $dir/crl # katalog z list(cid:261) certyfikatów uniewa(cid:298)nionych (CRL) private_key = $dir/private/cakey.pem # klucz prywatny CA database = $dir/index.txt # baza, w której przechowywane s(cid:261) informacje (cid:180) o wystawionych certyfikatach wraz ze statusem certificate = $dir/cacert.pem # Certyfikat CA — do podpisu wniosków serial = $dir/serial # plik pomocniczy z bie(cid:298)(cid:261)cym numerem — inkrementowany # po ka(cid:298)dym wystawieniu certyfikatu crl = $dir/crl.pem # bie(cid:298)(cid:261)ca lista certyfikatów uniewa(cid:298)nionych Upewniamy si(cid:266), czy istnieje katalog podany w zmiennej dir, czyli /etc/ssl, oraz wszystkie jego podkatalogi. Je(cid:298)eli nie, musimy je za(cid:225)o(cid:298)y(cid:252). Dla katalogu ssl/private ustaw upraw- nienia tak, aby tylko u(cid:298)ytkownik root móg(cid:225) do niego wej(cid:286)(cid:252). Stwórz pliki /etc/ssl/index.txt oraz /etc/ssl/serial, u(cid:298)ywaj(cid:261)c komend podanych poni(cid:298)ej. root@ca:~# touch /etc/ssl/index.txt #(ma by(cid:252) pusty) root@ca:~# echo 00 /etc/ssl/serial #(ma zawiera(cid:252) wpis 00) Przyst(cid:266)pujemy do generowania klucza prywatnego centrum certyfikacji CA. Jest to czynno(cid:286)(cid:252) jednorazowa, tzn. po wygenerowaniu klucza prywatnego CA, a nast(cid:266)pnie odpowiadaj(cid:261)cego mu certyfikatu b(cid:266)dziesz u(cid:298)ywa(cid:225) ich do podpisywania innych certy- fikatów. Pami(cid:266)taj, aby zarchiwizowa(cid:252) pliki z katalogu /etc/ssl w bezpiecznym miejscu. B(cid:266)d(cid:261)c w katalogu /etc/ssl, wydajemy nast(cid:266)puj(cid:261)ce polecenie: root@ca:/etc/ssl# openssl genrsa -des3 -out private/cakey.pem 1024 Generating RSA private key, 1024 bit long modulus ........++++++ ...++++++ e is 65537 (0x10001) Enter pass phrase for private/cakey.pem: podaj has(cid:273)o klucza prywatnego CA Po potwierdzeniu has(cid:225)a do klucza prywatnego CA klucz zostanie zapisany w pliku private/cakey.pem. Nie zapomnij has(cid:225)a do tego klucza, b(cid:266)dzie Ci nieraz potrzebne. Kolejn(cid:261) czynno(cid:286)ci(cid:261) jest wygenerowanie certyfikatu CA. W tym celu wpisujemy na- st(cid:266)puj(cid:261)ce polecenie: root@ca:/etc/ssl# openssl req -new -x509 -days 365 -key private/cakey.pem -out (cid:180)cacert.pem Zostaniemy poproszeni o podanie kilku pól zawartych w certyfikacie. Country Name (2 letter code) [AU]:PL State or Province Name (full name) [Some-State]:Slask 18 Sieci VPN. Zdalna praca i bezpiecze(cid:254)stwo danych Locality Name (eg, city) []:Gliwice Organization Name (eg, company) [Internet Widgits Pty Ltd]:Moja Firma Sp. z o.o. Organizational Unit Name (eg, section) []: Common Name (eg, YOUR name) []: ca.firma.pl Email Address []: Znaczenie powy(cid:298)szych pól jest raczej jasne, zwracam jedynie uwag(cid:266) na pole Common Name, które powinno zawiera(cid:252) nazw(cid:266) podmiotu — np. nazw(cid:266) u(cid:298)ytkownika lub jed- nostki. W tym przypadku, gdy generujesz certyfikat dla CA, wpisz tutaj nazw(cid:266) swojej organizacji s(cid:225)ownie (np. Firma SA) albo podaj np. nazw(cid:266) domeny. Po podaniu has(cid:225)a do klucza prywatnego certyfikat zostanie zapisany w pliku cacert.pem. W powy(cid:298)szym przyk(cid:225)adzie czas wa(cid:298)no(cid:286)ci certyfikatu wynosi(cid:252) b(cid:266)dzie 1 rok. Mo(cid:298)na go oczywi(cid:286)cie wyd(cid:225)u(cid:298)y(cid:252). Na tym zako(cid:276)czyli(cid:286)my tworzenie w(cid:225)asnego urz(cid:266)du CA. Maj(cid:261)c pliki cakey.pem i cacert. pem, czyli klucz prywatny i publiczny CA, mo(cid:298)emy ju(cid:298) wystawia(cid:252) certyfikaty innym podmiotom. 3.2.2. Tworzenie klucza prywatnego dla serwera Celem stworzenia klucza prywatnego dla serwera wpisujemy nast(cid:266)puj(cid:261)ce polecenie: root@ca:/etc/ssl# openssl genrsa -des3 -out private/serverkey.pem 1024 Program OpenSSL zapyta o has(cid:225)o — b(cid:266)dzie to has(cid:225)o klucza prywatnego serwera. Klucz prywatny zapisany zostanie w pliku private/serverkey.pem. Nast(cid:266)pn(cid:261) czynno(cid:286)ci(cid:261) jest wygenerowanie wniosku o wystawienie certyfikatu. 3.2.3. Generowanie wniosku o wystawienie certyfikatu root@ca:/etc/ssl# openssl req -new -key private/serverkey.pem -out serverreq.pem B(cid:266)dziesz musia(cid:225) poda(cid:252) has(cid:225)o klucza prywatnego serwera (to, które podawa(cid:225)e(cid:286) przed chwil(cid:261)). Je(cid:298)eli has(cid:225)o b(cid:266)dzie poprawne, zostaniesz zapytany o dane do wniosku, zgod- nie z listingiem poni(cid:298)ej. Country Name (2 letter code) [AU]:PL State or Province Name (full name) [Some-State]:Slask Locality Name (eg, city) []:Gliwice Organization Name (eg, company) [Internet Widgits Pty Ltd]:Moja Firma Sp. z o.o. Organizational Unit Name (eg, section) []: Common Name (eg, YOUR name) []: server.firma.pl Email Address []: Zwracam tutaj uwag(cid:266) na pole Common Name. W przypadku certyfikatów dla serwerów pole to powinno zawiera(cid:252) pe(cid:225)n(cid:261) nazw(cid:266) domenow(cid:261), pod jak(cid:261) serwer dzia(cid:225)a w internecie Rozdzia(cid:228) 3. (cid:105) SSL jako standard bezpiecznego przesy(cid:228)ania danych 19 (tzw. FQDN). Jest to wa(cid:298)ne, poniewa(cid:298) je(cid:286)li pole Common Name nie pokrywa si(cid:266) z naw(cid:261) domenow(cid:261), niektóre programy zg(cid:225)aszaj(cid:261) niezgodno(cid:286)(cid:252) certyfikatu z adresem serwera (zw(cid:225)aszcza przegl(cid:261)darki i klienty poczty). Wniosek zostanie zapisany w pliku serverreq.pem. Kolejnym krokiem b(cid:266)dzie podpi- sanie go przez nasze CA, czyli wystawienie mu certyfikatu. 3.2.4. Wystawianie certyfikatu dla serwera Celem wystawienia certyfikatu dla podmiotu (serwera) musisz podpisa(cid:252) jego wniosek. Aby to uczyni(cid:252), wpisz poni(cid:298)sze polecenie. root@ca:/etc/ssl# openssl ca -notext -in serverreq.pem -out servercert.pem Zostaniesz zapytany o has(cid:225)o do klucza prywatnego CA cakey.pem (nie myl z has(cid:225)em do klucza prywatnego serwera!). Nast(cid:266)pnie OpenSSL poka(cid:298)e szczegó(cid:225)y certyfikatu i zapyta, czy chcesz go podpisa(cid:252). Operacja podpisu wygl(cid:261)da tak, jak pokazano na listingu 3.2.4.1. Listing 3.2.4.1. Komunikaty pojawiaj(cid:261)ce si(cid:266) podczas wystawiania certyfikatu Signature ok Certificate Details: Serial Number: 5 (0x5) Validity Not Before: Sep 17 12:59:06 2007 GMT Not After : Sep 16 12:59:06 2008 GMT Subject: countryName = PL stateOrProvinceName = Slask organizationName = Moja Firma Sp. z o.o. organizationalUnitName = commonName = server.firma.pl X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: 0E:CE:3E:06:C4:46:53:78:B0:05:AB:18:9B:BA:90:79:9B:A1:A5:C8 X509v3 Authority Key Identifier: keyid:FC:B8:73:29:C6:E4:50:B2:3E:CE:0A:78:8C:62:90:A5:62:3C:87:1B DirName:/C=PL/ST=Slask/L=Gliwice/O=Moja Firma Sp. z o.o./ CN=ca.firma.pl/emailAddress=admin@firma.pl serial:97:1B:4E:CE:0B:5F:CE:E2 Certificate is to be certified until Sep 16 12:59:06 2008 GMT (365 days) Sign the certificate? [y/n]: y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated 20 Sieci VPN. Zdalna praca i bezpiecze(cid:254)stwo danych Mo(cid:298)esz teraz podejrze(cid:252) zawarto(cid:286)(cid:252) plików index.txt oraz serial, które zosta(cid:225)y zaktuali- zowane po podpisaniu wniosku. Uwa(cid:298)aj na plik index.txt, jest on potrzebny przy od- wo(cid:225)ywaniu certyfikatu (generowaniu CRL). Mamy ju(cid:298) par(cid:266) kluczy dla serwera. Przy zestawianiu sieci VPN b(cid:266)d(cid:261) potrzebne te(cid:298) klucze i certyfikaty dla u(cid:298)ytkowników. Generujemy je w sposób analogiczny jak dla serwera, zgodnie z punktami 3.2.2 – 3.2.4. Zwró(cid:252) uwag(cid:266), aby w polu Common Name podawa(cid:252) dane jednoznacznie identyfikuj(cid:261)ce u(cid:298)ytkownika — np. jego login korpora- cyjny. Niektóre programy po Common Name identyfikuj(cid:261) u(cid:298)ytkowników. Jeszcze jeden szczegó(cid:225) dotycz(cid:261)cy has(cid:225)a zabezpieczaj(cid:261)cego klucz prywatny. W mo- mencie uruchamiania aplikacji korzystaj(cid:261)cej z tego klucza b(cid:266)dziemy zmuszeni wpi- sywa(cid:252) has(cid:225)o z klawiatury. W praktyce na serwerach aplikacja cz(cid:266)sto dzia(cid:225)a jako us(cid:225)uga uruchamiana w trakcie startu systemu i oczekiwanie na wpisanie has(cid:225)a jest niezado- walaj(cid:261)cym rozwi(cid:261)zaniem. W takich sytuacjach mo(cid:298)emy (cid:286)ci(cid:261)gn(cid:261)(cid:252) has(cid:225)o z klucza pry- watnego. Nale(cid:298)y jednak pami(cid:266)ta(cid:252), aby dost(cid:266)p do klucza mia(cid:225) jedynie administrator serwera (root). Komenda przedstawiona w punkcie 3.2.5 umo(cid:298)liwia (cid:286)ci(cid:261)gni(cid:266)cie has(cid:225)a z klucza prywatnego. 3.2.5. (cid:263)ci(cid:241)ganie has(cid:228)a z klucza prywatnego serwera # openssl rsa -in private/serverkey.pem -out private/serverkey.pem_bezhasla Nie zalecam natomiast (cid:286)ci(cid:261)gania hase(cid:225) z kluczy prywatnych u(cid:298)ytkowników zdalnych. Jest to dodatkowe zabezpieczenie. W razie kradzie(cid:298)y laptopa dost(cid:266)p do VPN nie b(cid:266)- dzie mo(cid:298)liwy bez znajomo(cid:286)ci has(cid:225)a. 3.2.6. Uniewa(cid:276)nianie certyfikatów Pr(cid:266)dzej czy pó(cid:296)niej zajdzie potrzeba uniewa(cid:298)nienia którego(cid:286) z certyfikatów. Klasycznym przyk(cid:225)adem jest odej(cid:286)cie pracownika lub kradzie(cid:298) laptopa. Do uniewa(cid:298)nienia certyfi- katu s(cid:225)u(cid:298)y parametr revoke programu OpenSSL. Przyk(cid:225)adowo aby przyst(cid:261)pi(cid:252) do unie- wa(cid:298)nienia certyfikatu osobie Jan Kowalski (jkowalskicert.pem), wpisz polecenie: root@srv:/etc/ssl# openssl ca -revoke jkowalskicert.pem OpenSSL zapyta o has(cid:225)o klucza CA i po podaniu prawid(cid:225)owego uniewa(cid:298)ni certyfikat: Using configuration from /usr/lib/ssl/openssl.cnf Enter pass phrase for /etc/ssl/private/cakey.pem: DEBUG[load_index]: unique_subject = yes Revoking Certificate 04. Data Base Updated Musimy jeszcze wygenerowa(cid:252) list(cid:266) CRL, w której zapisane s(cid:261) uniewa(cid:298)nione certyfi- katy. Robimy to zgodnie z punktem 3.2.7. Rozdzia(cid:228) 3. (cid:105) SSL jako standard bezpiecznego przesy(cid:228)ania danych 21 3.2.7. Generowanie listy CRL (uniewa(cid:276)nionych certyfikatów) root@ca:/etc/ssl# openssl ca -gencrl -out crl.pem Plik crl.pem nale(cid:298)y przegra(cid:252) pó(cid:296)niej na w(cid:225)a(cid:286)ciwy serwer i wskaza(cid:252) w aplikacji korzy- staj(cid:261)cej z certyfikatów (szczegó(cid:225)y w dalszej cz(cid:266)(cid:286)ci ksi(cid:261)(cid:298)ki). 3.2.8. Ró(cid:276)ne formaty certyfikatów Nale(cid:298)y wspomnie(cid:252) jeszcze o ró(cid:298)nych formatach plików, w których zapisywane s(cid:261) klucze i certyfikaty. Niestety, nie ma tu jednego standardu i ró(cid:298)ni producenci prefe- ruj(cid:261) ró(cid:298)ne formaty. Niemniej za pomoc(cid:261) programu OpenSSL mo(cid:298)esz je konwertowa(cid:252) z jednego formatu na inny. Klucze prywatne najcz(cid:266)(cid:286)ciej zapisywane s(cid:261) w formie PEM lub DER (binarny). Dla certyfikatów u(cid:298)ywane s(cid:261) formaty PEM, DER oraz PKCS12. Aplikacje bazuj(cid:261)ce na bibliotece openssl, czyli wszystkie uniksowe, u(cid:298)ywaj(cid:261) na ogó(cid:225) formatu PEM. Formaty DER i PKCS12 rozpowszechnione s(cid:261) w systemach Microsoftu. Format PKCS12 przechowuje w jednym pliku klucz prywatny zabezpieczony has(cid:225)em i odpowiadaj(cid:261)cy mu certyfikat. Poprzednikiem PKCS12 by(cid:225) przestarza(cid:225)y obecnie format PFX; jakkol- wiek firma Microsoft u(cid:298)ywa rozszerze(cid:276) plików PFX dla formatu PKCS12. Aby przekonwertowa(cid:252) certyfikat z jednej postaci na drug(cid:261), musisz przekaza(cid:252) progra- mowi OpenSSL odpowiednie parametry. W tabeli 3.2.8.1 przedstawiono sk(cid:225)adni(cid:266) pro- gramu dla kilku popularnych przekszta(cid:225)ce(cid:276). Tabela 3.2.8.1. Sk(cid:225)adnia programu OpenSSL potrzebna do konwersji certyfikatów Format wej(cid:264)ciowy Format wyj(cid:264)ciowy Sk(cid:228)adnia OpenSSL PEM DER DER PEM DER key PEM key PEM PKCS#12 PKCS#12 PEM CERT PKCS#12 PEM KEY openssl x509 -in cert.pem -out cert.der (cid:180)-outform DER openssl x509 -in cert.der inform DER (cid:180)–out cert.pem -outform PEM openssl rsa in input.key inform DER out (cid:180)output.key outform PEM openssl pkcs12 -export -out cert.p12 -inkey (cid:180)userkey.pem -in usercert.pem openssl pkcs12 -clcerts -nokeys –in cert.p12 (cid:180)-out usercert.pem openssl pkcs12 -nocerts -in cert.p12 (cid:180)–out userkey.pem Aby wy(cid:286)wietli(cid:252) informacj(cid:266) o certyfikacie, np. informacje podane podczas tworzenia wniosku, nale(cid:298)y uruchomi(cid:252) program OpenSSL z nast(cid:266)puj(cid:261)cymi parametrami: ca:/etc/ssl# openssl x509 -in servercert.pem -subject –noout subject= /C=PL/ST=Slask/O=Helion/CN=server1 22 Sieci VPN. Zdalna praca i bezpiecze(cid:254)stwo danych Je(cid:286)li dodasz parametr -issuer, OpenSSL zwróci tak(cid:298)e informacj(cid:266) o wystawcy (CA): ca:/etc/ssl# openssl x509 -in servercert.pem -issuer -subject –noout subject= /C=PL/ST=Slask/O=Helion/CN=server1 issuer= /C=PL/ST=Slask/L=Gliwice/O=Helion/CN=CA Je(cid:298)eli certyfikat jest w formie binarnej (DER), do powy(cid:298)szej sk(cid:225)adni nale(cid:298)y doda(cid:252) pa- rametr -inform DER. 3.3. Kompilacja biblioteki openssl ze (cid:274)róde(cid:228) Ko(cid:276)cz(cid:261)c rozdzia(cid:225) dotycz(cid:261)cy biblioteki openssl, zamieszczam instrukcj(cid:266) opisuj(cid:261)c(cid:261), jak skompilowa(cid:252) i zainstalowa(cid:252) bibliotek(cid:266) „r(cid:266)cznie”. Powodów, dla których mia(cid:225)by(cid:286) sa- modzielnie kompilowa(cid:252) program OpenSSL, mo(cid:298)e by(cid:252) kilka. Najbardziej prawdopo- dobny z nich to ch(cid:266)(cid:252) podania przy kompilacji jakiej(cid:286) opcji, której nie przewidzieli twórcy dystrybucji Twojego systemu. Innym powodem mo(cid:298)e by(cid:252) ch(cid:266)(cid:252) zaktualizowania istniej(cid:261)cej wersji w dystrybucjach, które nie maj(cid:261) dobrze zorganizowanego systemu aktualizacji (np. Slackware ;-)). Je(cid:286)li decydujesz si(cid:266) na w(cid:225)asn(cid:261) kompilacj(cid:266), musisz sukcesywnie aktualizowa(cid:252) bibliotek(cid:266) w razie pojawienia si(cid:266) wykrytych b(cid:225)(cid:266)dów. W dystrybucji Debian, której u(cid:298)ywam, paczka SSL dostarczana wraz z systemem nie by(cid:225)a skompilowana z obs(cid:225)ug(cid:261) biblioteki zlib, w zwi(cid:261)zku z czym nie mog(cid:225)em u(cid:298)y(cid:252) tego algorytmu kompresji w programie Stunnel. Je(cid:286)li z jakich(cid:286) powodów chcesz skompilowa(cid:252) bibliotek(cid:266) openssl, poni(cid:298)ej w punktach zamieszczam opis, jak to zrobi(cid:252). 1. Pobierz ze strony http://www.openssl.org/source/ (cid:296)ród(cid:225)a najnowszej wersji pakietu i zapisz w katalogu /usr/src/. 2. Porównaj warto(cid:286)(cid:252) MD5 pliku pobranego z sieci (polecenie md5sum) z warto(cid:286)ci(cid:261) udost(cid:266)pnion(cid:261) na stronie openssl.org. 3. Rozpakuj zawarto(cid:286)(cid:252) archiwum poleceniem tar zxf openssl- nr_wersji .tar.gz. 4. Przejd(cid:296) do katalogu openssl- nr_wersji . 5. Przed przyst(cid:261)pieniem do kompilacji musisz ustali(cid:252), w którym katalogu program ma zosta(cid:252) zainstalowany oraz z jakimi dodatkowymi opcjami, podaj(cid:261)c je jako parametry skryptu ./config. W poni(cid:298)szym przyk(cid:225)adzie skompilujemy program z obs(cid:225)ug(cid:261) biblioteki zlib, a wynikowy program zostanie zainstalowany w katalogu /usr/local/openssl. Wpisz polecenie: srv:~# ./config --prefix=/usr/local zlib 6. Je(cid:286)li skrypt ./config nie zg(cid:225)osi b(cid:225)(cid:266)du, mo(cid:298)emy przej(cid:286)(cid:252) do w(cid:225)a(cid:286)ciwej kompilacji programu. W tym celu wpisz polecenie make. Rozdzia(cid:228) 3. (cid:105) SSL jako standard bezpiecznego przesy(cid:228)ania danych 23 7. Proces kompilacji mo(cid:298)e potrwa(cid:252) kilka minut, po jego zako(cid:276)czeniu mo(cid:298)esz przej(cid:286)(cid:252) do ostatniego kroku — instalacji skompilowanych plików we w(cid:225)a(cid:286)ciwych katalogach. 8. Aby zako(cid:276)czy(cid:252) instalacj(cid:266), wpisz polecenie make install.
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Sieci VPN. Zdalna praca i bezpieczeństwo danych
Autor:

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: