Erinevus lehekülje "Sertifikaadid" redaktsioonide vahel

Allikas: Kuutõrvaja
P
(SHA1 tuleb välistada)
13. rida: 13. rida:
 
Allkirjasta CA sertifikaat iseendaga
 
Allkirjasta CA sertifikaat iseendaga
  
  $ openssl req -new -x509 -days 1095 -key ca.key -out ca.crt
+
  $ openssl req -new -x509 -sha256 -days 1095 -key ca.key -out ca.crt
 
  EE
 
  EE
 
  .
 
  .
30. rida: 30. rida:
 
Tekita sertifikaadi allakirjutamise päring ja saada see (.csr fail) CA-le
 
Tekita sertifikaadi allakirjutamise päring ja saada see (.csr fail) CA-le
  
  $ openssl req -new -key kasutaja.key -out kasutaja.csr
+
  $ openssl req -new -sha256 -key kasutaja.key -out kasutaja.csr
 
  EE
 
  EE
 
  .
 
  .
43. rida: 43. rida:
 
  $ openssl req -text -noout -in kasutaja.csr
 
  $ openssl req -text -noout -in kasutaja.csr
 
  ...
 
  ...
  $ openssl x509 -req -sha1 -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \
+
  $ openssl x509 -req -sha256 -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \
 
  -out kasutaja.crt -in kasutaja.csr
 
  -out kasutaja.crt -in kasutaja.csr
  
56. rida: 56. rida:
 
CA allkirjastab sertifikaadi ja lisab laiendused
 
CA allkirjastab sertifikaadi ja lisab laiendused
  
  $ openssl x509 -req -sha1 -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \
+
  $ openssl x509 -req -sha256 -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \
 
  -out kasutaja.crt -in kasutaja.csr -extfile cext.txt
 
  -out kasutaja.crt -in kasutaja.csr -extfile cext.txt
  
67. rida: 67. rida:
 
Lihtsamal juhul võib pruukida iseallkirjastatud sertifikaati (i.k. ''self-signed certificate'')
 
Lihtsamal juhul võib pruukida iseallkirjastatud sertifikaati (i.k. ''self-signed certificate'')
  
  $ openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout kasutaja.key -out kasutaja.crt
+
  $ openssl req -x509 -sha256 -nodes -days 3650 -newkey rsa:2048 -keyout kasutaja.key -out kasutaja.crt
  
 
Kui skriptimisel on vaja vältida konsoolilt pärimist, saab parameetrid kõik käsureal anda
 
Kui skriptimisel on vaja vältida konsoolilt pärimist, saab parameetrid kõik käsureal anda
  
  $ openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout kasutaja.key -out kasutaja.crt -subj "/C=EE/ST=/L=Tartu/O=Kasutaja/CN=www.oukasutaja.ee" -batch
+
  $ openssl req -x509 -sha256 -nodes -days 3650 -newkey rsa:2048 -keyout kasutaja.key -out kasutaja.crt -subj "/C=EE/ST=/L=Tartu/O=Kasutaja/CN=www.oukasutaja.ee" -batch

Redaktsioon: 9. september 2014, kell 10:15

Kõnekeeli öeldakse sertifikaadi kohta mugavalt "sert" ehk mitmuses "serdid".

Juhendi kasutamiseks on vajalik OpenSSL ver 0.9.7 või uuem.

Oletame, et meil on 2 asutust: sertifitseerimiskeskuse rollis "AS AgentuurC" ja teine asutus "OÜ Kasutaja", kes tahab oma veebi- või postiserverile sertifikaati.

CA, ehk sertifitseerimiskeskuse tekitamine

Tekita CA võtmed (2011 seisuga on soovituslik kasutada 2048-bitist RSA võtit)

$ openssl genrsa -des3 -out ca.key 2048

Allkirjasta CA sertifikaat iseendaga

$ openssl req -new -x509 -sha256 -days 1095 -key ca.key -out ca.crt
EE
.
Tallinn
AS AgentuurC
.
AgentuurC Test Root CA
helpdesk@agentuurc.ee

Kasutaja sertifikaadi tegemine

Tekita kasutaja võtmed

$ openssl genrsa -out kasutaja.key 2048

Tekita sertifikaadi allakirjutamise päring ja saada see (.csr fail) CA-le

$ openssl req -new -sha256 -key kasutaja.key -out kasutaja.csr
EE
.
Tartu
OÜ Kasutaja
Müügiosakond
www.oukasutaja.ee
info@oukasutaja.ee

CA uurib päringut ja allkirjastab sertifikaadi

$ openssl req -text -noout -in kasutaja.csr
...
$ openssl x509 -req -sha256 -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \
-out kasutaja.crt -in kasutaja.csr

Kui masinal on mitu nime

Tekita sertifikaadi laiendusfail cext.txt ja saada ta koos .csr failiga CA-le

$ cat cext.txt
subjectAltName = DNS:www.oukasutaja.ee,DNS:mail.oukasutaja.ee
basicConstraints = critical,CA:FALSE

CA allkirjastab sertifikaadi ja lisab laiendused

$ openssl x509 -req -sha256 -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \
-out kasutaja.crt -in kasutaja.csr -extfile cext.txt

Sertifikaadi sisu vaatamine

$ openssl x509 -noout -text -in kasutaja.crt

Iseallkirjastatud sertifikaat

Lihtsamal juhul võib pruukida iseallkirjastatud sertifikaati (i.k. self-signed certificate)

$ openssl req -x509 -sha256 -nodes -days 3650 -newkey rsa:2048 -keyout kasutaja.key -out kasutaja.crt

Kui skriptimisel on vaja vältida konsoolilt pärimist, saab parameetrid kõik käsureal anda

$ openssl req -x509 -sha256 -nodes -days 3650 -newkey rsa:2048 -keyout kasutaja.key -out kasutaja.crt -subj "/C=EE/ST=/L=Tartu/O=Kasutaja/CN=www.oukasutaja.ee" -batch