Erinevus lehekülje "Sertifikaadid" redaktsioonide vahel
Allikas: Kuutõrvaja
(→Kasutaja sertifikaadi tegemine) |
|||
7. rida: | 7. rida: | ||
Tekita CA võtmed | Tekita CA võtmed | ||
− | openssl genrsa -des3 -out ca.key 2048 | + | $ openssl genrsa -des3 -out ca.key 2048 |
Allkirjasta CA sertifikaat iseendaga | Allkirjasta CA sertifikaat iseendaga | ||
24. rida: | 24. rida: | ||
Tekita kasutaja võtmed | Tekita kasutaja võtmed | ||
− | openssl genrsa -out kasutaja.key 1024 | + | $ openssl genrsa -out kasutaja.key 1024 |
Tekita sertifikaadi allakirjutamise päring ja saada see (.csr fail) CA-le | Tekita sertifikaadi allakirjutamise päring ja saada see (.csr fail) CA-le | ||
39. rida: | 39. rida: | ||
CA allkirjastab sertifikaadi | CA allkirjastab sertifikaadi | ||
− | openssl x509 -req -sha1 -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \ | + | $ openssl x509 -req -sha1 -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \ |
-out kasutaja.crt -in kasutaja.csr | -out kasutaja.crt -in kasutaja.csr | ||
58. rida: | 58. rida: | ||
===Sertifikaadi sisu vaatamine=== | ===Sertifikaadi sisu vaatamine=== | ||
− | openssl x509 -noout -text -in kasutaja.crt | + | $ openssl x509 -noout -text -in kasutaja.crt |
===Iseallkirjastatud sertifikaat=== | ===Iseallkirjastatud sertifikaat=== | ||
64. rida: | 64. rida: | ||
Lihtsamatel juhtudel võib kasutaja pruukida iseallkirjastatud sertifikaate (''self-signed certificate'') | Lihtsamatel juhtudel võib kasutaja pruukida iseallkirjastatud sertifikaate (''self-signed certificate'') | ||
− | openssl req -x509 -nodes -days 3650 -newkey rsa:1024 -keyout kasutaja.crt -out kasutaja.crt | + | $ openssl req -x509 -nodes -days 3650 -newkey rsa:1024 -keyout kasutaja.crt -out kasutaja.crt |
Redaktsioon: 19. november 2010, kell 16:14
Juhendi kasutamiseks on vajalik OpenSSL ver 0.9.7 või uuem.
Oletame, et meil on 2 asutust: sertifitseerimiskeskuse rollis "AS AgentuurC" ja teine asutus "OÜ Kasutaja", kes tahab oma veebi- või postiserverile sertifikaati.
Sisukord
CA, ehk sertifitseerimiskeskuse tekitamine
Tekita CA võtmed
$ openssl genrsa -des3 -out ca.key 2048
Allkirjasta CA sertifikaat iseendaga
openssl req -new -x509 -days 1095 -key ca.key -out ca.crt EE . Tallinn AS AgentuurC . AgentuurC Test Root CA helpdesk@agentuurc.ee
Kasutaja sertifikaadi tegemine
Tekita kasutaja võtmed
$ openssl genrsa -out kasutaja.key 1024
Tekita sertifikaadi allakirjutamise päring ja saada see (.csr fail) CA-le
# openssl req -new -key kasutaja.key -out kasutaja.csr EE . Tartu OÜ Kasutaja Müügiosakond www.oukasutaja.ee info@oukasutaja.ee
CA allkirjastab sertifikaadi
$ openssl x509 -req -sha1 -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \ -out kasutaja.crt -in kasutaja.csr
Kui masinal on mitu nime
Tekita sertifikaadi laiendusfail cext.txt (ja saada ta koos .csr failiga CA-le)
cat > cext.txt <<EOE subjectAltName = DNS:www.oukasutaja.ee,DNS:mail.oukasutaja.ee basicConstraints = critical,CA:FALSE EOE
CA allkirjastab sertifikaadi ja lisab laiendused
openssl x509 -req -sha1 -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \ -out kasutaja.crt -in kasutaja.csr -extfile cext.txt
Sertifikaadi sisu vaatamine
$ openssl x509 -noout -text -in kasutaja.crt
Iseallkirjastatud sertifikaat
Lihtsamatel juhtudel võib kasutaja pruukida iseallkirjastatud sertifikaate (self-signed certificate)
$ openssl req -x509 -nodes -days 3650 -newkey rsa:1024 -keyout kasutaja.crt -out kasutaja.crt