Erinevus lehekülje "Sertifikaadid" redaktsioonide vahel
Allikas: Kuutõrvaja
(Tekst ilusamaks, mikrotüpod välja) |
|||
| 7. rida: | 7. rida: | ||
===CA, ehk sertifitseerimiskeskuse tekitamine=== | ===CA, ehk sertifitseerimiskeskuse tekitamine=== | ||
| − | Tekita CA võtmed ( | + | Tekita CA võtmed (2011 seisuga on soovituslik kasutada 2048-bitist RSA võtit) |
$ openssl genrsa -des3 -out ca.key 2048 | $ openssl genrsa -des3 -out ca.key 2048 | ||
| 30. rida: | 30. rida: | ||
Tekita sertifikaadi allakirjutamise päring ja saada see (.csr fail) CA-le | Tekita sertifikaadi allakirjutamise päring ja saada see (.csr fail) CA-le | ||
| − | + | $ openssl req -new -key kasutaja.key -out kasutaja.csr | |
EE | EE | ||
. | . | ||
| 48. rida: | 48. rida: | ||
===Kui masinal on mitu nime=== | ===Kui masinal on mitu nime=== | ||
| − | Tekita sertifikaadi laiendusfail cext.txt | + | Tekita sertifikaadi laiendusfail cext.txt ja saada ta koos .csr failiga CA-le |
| − | cat | + | $ cat cext.txt |
subjectAltName = DNS:www.oukasutaja.ee,DNS:mail.oukasutaja.ee | subjectAltName = DNS:www.oukasutaja.ee,DNS:mail.oukasutaja.ee | ||
basicConstraints = critical,CA:FALSE | basicConstraints = critical,CA:FALSE | ||
| − | |||
CA allkirjastab sertifikaadi ja lisab laiendused | CA allkirjastab sertifikaadi ja lisab laiendused | ||
| − | openssl x509 -req -sha1 -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \ | + | $ openssl x509 -req -sha1 -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \ |
-out kasutaja.crt -in kasutaja.csr -extfile cext.txt | -out kasutaja.crt -in kasutaja.csr -extfile cext.txt | ||
| 66. rida: | 65. rida: | ||
===Iseallkirjastatud sertifikaat=== | ===Iseallkirjastatud sertifikaat=== | ||
| − | + | Lihtsamal juhul võib pruukida iseallkirjastatud sertifikaati (i.k. ''self-signed certificate'') | |
$ openssl req -x509 -nodes -days 3650 -newkey rsa:1024 -keyout kasutaja.crt -out kasutaja.crt | $ openssl req -x509 -nodes -days 3650 -newkey rsa:1024 -keyout kasutaja.crt -out kasutaja.crt | ||
Redaktsioon: 29. august 2011, kell 17:54
Kõnekeeli öeldakse sertifikaadi kohta mugavalt "sert" ehk mitmuses "serdid".
Juhendi kasutamiseks on vajalik OpenSSL ver 0.9.7 või uuem.
Oletame, et meil on 2 asutust: sertifitseerimiskeskuse rollis "AS AgentuurC" ja teine asutus "OÜ Kasutaja", kes tahab oma veebi- või postiserverile sertifikaati.
Sisukord
CA, ehk sertifitseerimiskeskuse tekitamine
Tekita CA võtmed (2011 seisuga on soovituslik kasutada 2048-bitist RSA võtit)
$ openssl genrsa -des3 -out ca.key 2048
Allkirjasta CA sertifikaat iseendaga
$ openssl req -new -x509 -days 1095 -key ca.key -out ca.crt EE . Tallinn AS AgentuurC . AgentuurC Test Root CA helpdesk@agentuurc.ee
Kasutaja sertifikaadi tegemine
Tekita kasutaja võtmed
$ openssl genrsa -out kasutaja.key 2048
Tekita sertifikaadi allakirjutamise päring ja saada see (.csr fail) CA-le
$ openssl req -new -key kasutaja.key -out kasutaja.csr EE . Tartu OÜ Kasutaja Müügiosakond www.oukasutaja.ee info@oukasutaja.ee
CA uurib päringut ja allkirjastab sertifikaadi
$ openssl req -text -noout -in kasutaja.csr ... $ openssl x509 -req -sha1 -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \ -out kasutaja.crt -in kasutaja.csr
Kui masinal on mitu nime
Tekita sertifikaadi laiendusfail cext.txt ja saada ta koos .csr failiga CA-le
$ cat cext.txt subjectAltName = DNS:www.oukasutaja.ee,DNS:mail.oukasutaja.ee basicConstraints = critical,CA:FALSE
CA allkirjastab sertifikaadi ja lisab laiendused
$ openssl x509 -req -sha1 -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \ -out kasutaja.crt -in kasutaja.csr -extfile cext.txt
Sertifikaadi sisu vaatamine
$ openssl x509 -noout -text -in kasutaja.crt
Iseallkirjastatud sertifikaat
Lihtsamal juhul võib pruukida iseallkirjastatud sertifikaati (i.k. self-signed certificate)
$ openssl req -x509 -nodes -days 3650 -newkey rsa:1024 -keyout kasutaja.crt -out kasutaja.crt
