OSS Group OSS Group
>  Карта
>  Поиск
>  Контакты
>  OSS Group  ::  Admin  ::  Создание сертификатов OpenSSL
  
РегистрацияЗабыли пароль?

↓  Быстрый поиск по Wiki


Режим поиска:   И   ИЛИ

↓  Доступные Wiki

↓  Навигация по сайту

[]

↓  Последняя новость

Загрузка...
Get Firefox!
[~]

Создание сертификатов OpenSSL

TinyCA (GPL, Perl) - GTK-утилита для организации CA на базе OpenSSL.


Simple SSL Cert HOWTO - краткая справка по командам OpenSSL. Перевод:

Создание нового центра сертификации (certificate authority, CA)

  • Отредактировать параметры openssl.cnf и вызвать CA.pl -newca для создания секретного ключа CA и его сертификата. Вручную делать можно, но не рекомендуется, CA.pl сделает лучше. Местонахождение CA.pl - в ALTLinux /var/lib/ssl/misc/, используемый файл конфигурации см. в скрипте.

Создание нового секретного ключа SSL

  • Создание нового незашифрованного ключа RSA длиной 1024 бита в формате PEM:
    openssl genrsa -out privkey.pem 1024.
    Для создания зашифрованного ключа добавить -des3.
  • Создание запроса на подпись сертификата (certificate signing request, CSR) для данного секретного ключа:
    openssl req -new -key privkey.pem -out certreq.csr
  • Для создания самоподписанного сертификата - подпись CSR секретным ключом:
    openssl x509 -req -in certreq.csr -signkey privkey.pem -out newcert.pem
  • Для подписи CSR секретным ключом центра сертификации (CA): то же самое, только с указанием секретного ключа сервера сертификации.
  • О генерации CSR для передачи на подпись внешнему центру сертификации см. прочую документацию.

Работа с сертфикатами в формате PEM

  • PEM - текстовый формат, в нём возможно хранение как сертификатов и секретных ключей, так и прочей информации. Возможно объединение нескольких PEM-файлов в один простым cat.
  • Для некоторых служб в PEM-файле требуется параметр (число) Diffie-Hellmann, которое в формате PEM генерится как
    openssl gendh -out dh.pem. Полученный файл объединяется с cert.pem и key.pem.

Просмотр и проверка сертификатов

  • Просмотр содержимого CSR:
    openssl req -noout -text -in certreq.csr
  • Просмотр содержимого сертификата:
    openssl x509 -noout -text -in newcert.pem
  • Просмотр отпечатков сертификата:
    openssl x509 -fingerprint -noout -in newcert.pem (хеш MD5, для SHA1 добавить ключ -sha1).
  • Проверка секретного ключа, CSR и подписанного сертификата сравнением вывода (должен быть одинаковым): —- openssl rsa -noout -modulus -in privkey.pem |openssl md5
    openssl req -noout -modulus -in certreq.csr |openssl md5
    openssl x509 -noout -modulus -in newcert.pem |openssl md5
  • Для просмотра сертификатов работающего сервера можно использовать нечто типа
    openssl s_client -connect localhost:636 -showcerts
    • Для серверов SMTP/POP3 требуются ключи -starttls [smtp/pop3]

Ссылки

  • LDAP authentification [eng] - подробное описание генерации сертификатов из документации к Mandrake.

Дата создания: 2006-05-24 12:45:27 (Фетисов Н. А. (naf))
Последнее изменение: 2006-06-02 16:35:31 (Фетисов Н. А. (naf))
Владелец: Фетисов Н. А. (naf)
Версия: 2  Все версии


  Не показывать комментарии



Wiki::Admin   Оглавление  Карта раздела  Изменения за сутки  Изменения за неделю  Изменения за месяц



Valid XHTML 1.0 Transitional  Valid CSS!  [Valid RSS]