Erinevus lehekülje "Sertifikaadid" redaktsioonide vahel
(→Kasutaja sertifikaadi tegemine) |
|||
7. rida: | 7. rida: | ||
===CA, ehk sertifitseerimiskeskuse tekitamine=== | ===CA, ehk sertifitseerimiskeskuse tekitamine=== | ||
− | Tekita CA võtmed | + | Tekita CA võtmed (hetkel tasuks kasutada kindlasti 2048-bitiseid RSA võtmeid) |
$ openssl genrsa -des3 -out ca.key 2048 | $ openssl genrsa -des3 -out ca.key 2048 |
Redaktsioon: 27. veebruar 2011, kell 13:44
Kõnekeeli öeldakse sertifikaadi kohta mugavalt "sert" ehk mitmuses "serdid".
Juhendi kasutamiseks on vajalik OpenSSL ver 0.9.7 või uuem.
Oletame, et meil on 2 asutust: sertifitseerimiskeskuse rollis "AS AgentuurC" ja teine asutus "OÜ Kasutaja", kes tahab oma veebi- või postiserverile sertifikaati.
Sisukord
CA, ehk sertifitseerimiskeskuse tekitamine
Tekita CA võtmed (hetkel tasuks kasutada kindlasti 2048-bitiseid RSA võtmeid)
$ openssl genrsa -des3 -out ca.key 2048
Allkirjasta CA sertifikaat iseendaga
$ openssl req -new -x509 -days 1095 -key ca.key -out ca.crt EE . Tallinn AS AgentuurC . AgentuurC Test Root CA helpdesk@agentuurc.ee
Kasutaja sertifikaadi tegemine
Tekita kasutaja võtmed
$ openssl genrsa -out kasutaja.key 2048
Tekita sertifikaadi allakirjutamise päring ja saada see (.csr fail) CA-le
# openssl req -new -key kasutaja.key -out kasutaja.csr EE . Tartu OÜ Kasutaja Müügiosakond www.oukasutaja.ee info@oukasutaja.ee
CA uurib päringut ja allkirjastab sertifikaadi
$ openssl req -text -noout -in kasutaja.csr ... $ openssl x509 -req -sha1 -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \ -out kasutaja.crt -in kasutaja.csr
Kui masinal on mitu nime
Tekita sertifikaadi laiendusfail cext.txt (ja saada ta koos .csr failiga CA-le)
cat > cext.txt <<EOE subjectAltName = DNS:www.oukasutaja.ee,DNS:mail.oukasutaja.ee basicConstraints = critical,CA:FALSE EOE
CA allkirjastab sertifikaadi ja lisab laiendused
openssl x509 -req -sha1 -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \ -out kasutaja.crt -in kasutaja.csr -extfile cext.txt
Sertifikaadi sisu vaatamine
$ openssl x509 -noout -text -in kasutaja.crt
Iseallkirjastatud sertifikaat
Lihtsamatel juhtudel võib kasutaja pruukida iseallkirjastatud sertifikaate (self-signed certificate)
$ openssl req -x509 -nodes -days 3650 -newkey rsa:1024 -keyout kasutaja.crt -out kasutaja.crt