Sertifikaadid
Allikas: Kuutõrvaja
Juhendi kasutamiseks on vajalik OpenSSL ver 0.9.7 või uuem.
Oletame, et meil on 2 asutust: sertifitseerimiskeskuse rollis "AS AgentuurC" ja teine asutus "OÜ Kasutaja", kes tahab oma veebi- või postiserverile sertifikaati.
Sisukord
CA, ehk sertifitseerimiskeskuse tekitamine
Tekita CA võtmed
$ openssl genrsa -des3 -out ca.key 2048
Allkirjasta CA sertifikaat iseendaga
$ openssl req -new -x509 -days 1095 -key ca.key -out ca.crt EE . Tallinn AS AgentuurC . AgentuurC Test Root CA helpdesk@agentuurc.ee
Kasutaja sertifikaadi tegemine
Tekita kasutaja võtmed
$ openssl genrsa -out kasutaja.key 1024
Tekita sertifikaadi allakirjutamise päring ja saada see (.csr fail) CA-le
# openssl req -new -key kasutaja.key -out kasutaja.csr EE . Tartu OÜ Kasutaja Müügiosakond www.oukasutaja.ee info@oukasutaja.ee
CA allkirjastab sertifikaadi
$ openssl x509 -req -sha1 -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \ -out kasutaja.crt -in kasutaja.csr
Kui masinal on mitu nime
Tekita sertifikaadi laiendusfail cext.txt (ja saada ta koos .csr failiga CA-le)
cat > cext.txt <<EOE subjectAltName = DNS:www.oukasutaja.ee,DNS:mail.oukasutaja.ee basicConstraints = critical,CA:FALSE EOE
CA allkirjastab sertifikaadi ja lisab laiendused
openssl x509 -req -sha1 -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \ -out kasutaja.crt -in kasutaja.csr -extfile cext.txt
Sertifikaadi sisu vaatamine
$ openssl x509 -noout -text -in kasutaja.crt
Iseallkirjastatud sertifikaat
Lihtsamatel juhtudel võib kasutaja pruukida iseallkirjastatud sertifikaate (self-signed certificate)
$ openssl req -x509 -nodes -days 3650 -newkey rsa:1024 -keyout kasutaja.crt -out kasutaja.crt
