Erinevus lehekülje "Sertifikaadid" redaktsioonide vahel

Allikas: Kuutõrvaja
(Kasutaja sertifikaadi tegemine)
7. rida: 7. rida:
 
Tekita CA võtmed
 
Tekita CA võtmed
  
  openssl genrsa -des3 -out ca.key 2048
+
  $ openssl genrsa -des3 -out ca.key 2048
  
 
Allkirjasta CA sertifikaat iseendaga
 
Allkirjasta CA sertifikaat iseendaga
24. rida: 24. rida:
 
Tekita kasutaja võtmed
 
Tekita kasutaja võtmed
  
  openssl genrsa -out kasutaja.key 1024
+
  $ openssl genrsa -out kasutaja.key 1024
  
 
Tekita sertifikaadi allakirjutamise päring ja saada see (.csr fail) CA-le
 
Tekita sertifikaadi allakirjutamise päring ja saada see (.csr fail) CA-le
39. rida: 39. rida:
 
CA allkirjastab sertifikaadi
 
CA allkirjastab sertifikaadi
  
  openssl x509 -req -sha1 -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \
+
  $ openssl x509 -req -sha1 -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \
 
  -out kasutaja.crt -in kasutaja.csr
 
  -out kasutaja.crt -in kasutaja.csr
  
58. rida: 58. rida:
 
===Sertifikaadi sisu vaatamine===
 
===Sertifikaadi sisu vaatamine===
  
  openssl x509 -noout -text -in kasutaja.crt
+
  $ openssl x509 -noout -text -in kasutaja.crt
  
 
===Iseallkirjastatud sertifikaat===
 
===Iseallkirjastatud sertifikaat===
64. rida: 64. rida:
 
Lihtsamatel juhtudel võib kasutaja pruukida iseallkirjastatud sertifikaate (''self-signed certificate'')
 
Lihtsamatel juhtudel võib kasutaja pruukida iseallkirjastatud sertifikaate (''self-signed certificate'')
  
  openssl req -x509 -nodes -days 3650 -newkey rsa:1024 -keyout kasutaja.crt -out kasutaja.crt
+
  $ openssl req -x509 -nodes -days 3650 -newkey rsa:1024 -keyout kasutaja.crt -out kasutaja.crt

Redaktsioon: 19. november 2010, kell 16:14

Juhendi kasutamiseks on vajalik OpenSSL ver 0.9.7 või uuem.

Oletame, et meil on 2 asutust: sertifitseerimiskeskuse rollis "AS AgentuurC" ja teine asutus "OÜ Kasutaja", kes tahab oma veebi- või postiserverile sertifikaati.

CA, ehk sertifitseerimiskeskuse tekitamine

Tekita CA võtmed

$ openssl genrsa -des3 -out ca.key 2048

Allkirjasta CA sertifikaat iseendaga

openssl req -new -x509 -days 1095 -key ca.key -out ca.crt
EE
.
Tallinn
AS AgentuurC
.
AgentuurC Test Root CA
helpdesk@agentuurc.ee

Kasutaja sertifikaadi tegemine

Tekita kasutaja võtmed

$ openssl genrsa -out kasutaja.key 1024

Tekita sertifikaadi allakirjutamise päring ja saada see (.csr fail) CA-le

# openssl req -new -key kasutaja.key -out kasutaja.csr
EE
.
Tartu
OÜ Kasutaja
Müügiosakond
www.oukasutaja.ee
info@oukasutaja.ee

CA allkirjastab sertifikaadi

$ openssl x509 -req -sha1 -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \
-out kasutaja.crt -in kasutaja.csr

Kui masinal on mitu nime

Tekita sertifikaadi laiendusfail cext.txt (ja saada ta koos .csr failiga CA-le)

cat > cext.txt <<EOE
subjectAltName = DNS:www.oukasutaja.ee,DNS:mail.oukasutaja.ee
basicConstraints = critical,CA:FALSE
EOE

CA allkirjastab sertifikaadi ja lisab laiendused

openssl x509 -req -sha1 -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \
-out kasutaja.crt -in kasutaja.csr -extfile cext.txt

Sertifikaadi sisu vaatamine

$ openssl x509 -noout -text -in kasutaja.crt

Iseallkirjastatud sertifikaat

Lihtsamatel juhtudel võib kasutaja pruukida iseallkirjastatud sertifikaate (self-signed certificate)

$ openssl req -x509 -nodes -days 3650 -newkey rsa:1024 -keyout kasutaja.crt -out kasutaja.crt