Sertifikaadid

Allikas: Kuutõrvaja
Redaktsioon seisuga 9. detsember 2009, kell 15:31 kasutajalt Jj (arutelu | kaastöö) (Kasutaja sertifikaadi tegemine)

Juhendi kasutamiseks on vajalik OpenSSL ver 0.9.7 või uuem.

Oletame, et meil on 2 asutust: sertifitseerimiskeskuse rollis "AS AgentuurC" ja teine asutus "OÜ Kasutaja", kes tahab oma veebi- või postiserverile sertifikaati.

CA, ehk sertifitseerimiskeskuse tekitamine

Tekita CA võtmed 

openssl genrsa -des3 -out ca.key 2048

Allkirjasta CA sertifikaat iseendaga 

openssl req -new -x509 -days 1095 -key ca.key -out ca.crt
EE
.
Tallinn
AS AgentuurC
.
AgentuurC Test Root CA
helpdesk@agentuurc.ee

Kasutaja sertifikaadi tegemine

Tekita kasutaja võtmed 

openssl genrsa -out kasutaja.key 1024

Tekita sertifikaadi allakirjutamise päring ja saada see (.csr fail) CA-le 

# openssl req -new -key kasutaja.key -out kasutaja.csr
EE
.
Tartu
OÜ Kasutaja
Müügiosakond
www.oukasutaja.ee
info@oukasutaja.ee

CA allkirjastab sertifikaadi 

openssl x509 -req -sha1 -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \
-out kasutaja.crt -in kasutaja.csr

Kui masinal on mitu nime

Tekita sertifikaadi laiendusfail cext.txt (ja saada ta koos .csr failiga CA-le) 

cat > cext.txt <<EOE
subjectAltName = DNS:www.oukasutaja.ee,DNS:mail.oukasutaja.ee
basicConstraints = critical,CA:FALSE
EOE

CA allkirjastab sertifikaadi ja lisab laiendused 

openssl x509 -req -sha1 -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \
-out kasutaja.crt -in kasutaja.csr -extfile cext.txt

Sertifikaadi sisu vaatamine

openssl x509 -noout -text -in kasutaja.crt

Iseallkirjastatud sertifikaat

Lihtsamatel juhtudel võib kasutaja pruukida iseallkirjastatud sertifikaate (self-signed certificate) 

openssl req -x509 -nodes -days 3650 -newkey rsa:1024 -keyout kasutaja.crt -out kasutaja.crt
Pärit leheküljelt "https://kuutorvaja.eenet.ee/w/index.php?title=Sertifikaadid&oldid=17059"