Denis Tulyakov - egy blog, ami érdekes számomra ssl tanúsítvány

előző ◈ a következő

Régi - meg kell korrigálni
Minden PKI kezdődik CA, így ha nincs CA, akkor létre kell hoznia:
Hogyan hozzunk létre egy CA:

Egyszerű laboratóriumi vizsgálatok azt javaslom, hogy hozzon létre egy saját aláírású CA, OpenSSL.

openssl req -config openssl.cnf -x509 -új -days 365 kijelentkezés cacert.pem -keyout privát \ cakey.pem

Ne próbálja meg telepíteni (másolat) a kulcs valahol más, mint a privát \ cakey.pem, különben akkor majd egy biztonsági kérdés. Az adatok, hogy adja meg a „szervezet neve” és „Country Code” a jövőben felhasználható valamennyi tanúsítvány, amelyet létre ez a CA

Hogyan létre egy tanúsítvány egy webszerver (Apache, Netscape vagy egyéb): Először generálása tanúsítvány aláírási kérelem (CSR).

Példa a használatra Sun keytool'a: A legjobb eszköz, hogy hozzon létre egy új kulcstárolóhoz (kulcstáradat), például: „ServerKeyStore”.

keytool -genkey -keystore ServerKeyStore -alias WebServer
Ez létrehoz egy új privát kulcs a webszerver. A folyamat létrehozása keytool bekéri leírásáról. Ügyeljen, hogy ugyanaz a szervezet neve (szervezet neve) és az országkód (országkód), a fent leírtak szerint.

Most hozzon létre egy CSR:

keytool -certReq -keystore ServerKeyStore -file webServerCSR.pem -alias WebServer
Kapsz webServerCSR.pem, amely a kérelem az igazolást.

Hozzon létre egy aláírt tanúsítvány, hogy megfeleljen ennek a CSR segítségével CA:

openssl ca -config openssl.cnf -in webServerCSR.pem kijelentkezés webServerCert.pem
Most van egy aláírt tanúsítvány a kiszolgáló: webServerCert.pem. Menj vissza a szerver és telepíteni. A webszerver is tisztában kell lenniük a CA, így akkor is kell telepíteni és cacert.pem (bizonyítvány a CA) a kiszolgáló kulcstálóban.

Példa a használatra Sun keytool'a: keytool mindössze X.509 tanúsítványok, így meg kell szerkeszteni a fájlt, és vegye webServerCert.pem dopolnitulnuyu információkat.

keytool -Import -keystore ServerKeyStore -file cacert.pem -alias CA
Akkor lehet importálni a tanúsítványt:

keytool -Import -keystore ServerKeyStore -file webServerCert.pem -alias WebServer
Most a webszerver védett és készen áll az SSL.

Hogyan Létrehoz kliens tanúsítvány:

Kezdjük a generációs CSR és a saját kulcs segítségével OpenSSL (challenge jelszót nem adjuk, vagy repül a hiba):

openssl REQ -config openssl.cnf -new -days 365 kijelentkezés myUser1CSR.pem -keyout myUser1Key.pem
Most már van, hogy aláírja a CSR a CA, és akkor kap egy igazolást: Ne felejtsük el, hogy már van egy titkos kulcsot az előző lépésben.

openssl ca -config openssl.cnf -in myUser1CSR.pem kijelentkezés myUser1Cert.pem
Most már van, amire szüksége van. Azonban a legtöbb eszközt, böngészők, stb inkább importálni pkcs12-fájlok ellentétben .pem .der and-fájlokat.

Hogyan hozzunk létre egy PKCS12:

Az első lépés az, hogy összekapcsolja CAcert, usercert és userkey együtt.

macska cacert.pem myUser1Cert myUser1Key.pem> myUser1CertPKCS12.pem
(Cacert.pem nem szükséges)

Most myUser1CertPKCS12.pem tartalmazza: CA, kulcs és tanúsítvány. A következő és egyben utolsó lépés ahhoz, hogy a myUser1CertPKCS12.pem pkcs12-formátumban.

OpenSSL pkcs12 -export -in myUser1CertPKCS12.pem kijelentkezés myUser1Cert.p12 -name "User1 klienstanúsítványhoz"
A böngésző megadja a nevét a tanúsítványban kiválasztási lista (Van amikor a nevét OpenSSL összes repült).

Hogyan kell használni a Sun keytool:

Hozza létre első kulcstárát, amely felhasználható a szerver hitelesítés:

keytool -genkey -keystore C: \ mystores \ IonaStage \ IPAS -keyalg RSA
Ez lesz a szerver tanúsítvány, mely akkor látható, amikor a böngésző kéri a szerverre. A tanúsítvány lehet telepíteni, ha a szerver indításakor a következő parancsot:

java -Djavax.net.ssl.keyStore = C: \ mystores \ IonaStage \ IPAS -Djavax.net.ssl.keyStorePassword = keypassword
Az ezt követő tanúsítványok lehet Gyári beállítások a következő paranccsal:

keytool -genkey -keystore C: \ mystores \ IonaStage \ IPAS -keyalg RSA -alias Certificate2

Annak érdekében, hogy a szerver a kliensek hitelesítésére, akkor is kell a bizalom áruház (kulcsadatbázis), ahol fel az összes megbízható tanúsítványok vagy CA Hozd létre a kulcsadatbázis, importálásával a tanúsítvány CA, az alábbiak szerint:

keytool -Import -trustcacerts -file cacert.pem -keystore C: \ mystores \ IonaStage \ kulcsadatbázis
Adjuk hozzá a következő sort a startvonalon a kiszolgáló:

-Djavax.net.ssl.keyStore = C: \ mystores \ IonaStage \ kulcsadatbázis -Djavax.net.ssl.keyStorePassword = trustpassword
Az alábbi igazolásokat lehet létrehozni vagy beilleszteni a következő parancsot:

keytool -Import -trustedcacerts -file anotherca.pem -alias anotherca -keystore C: \ mystores \ IonaStage \ kulcsadatbázis
Létrehoz tanúsítvány aláírási kérelem (CSR) segítségével a Sun keytool

keytool -certreq -keystore C: \ mystores \ IonaStage \ IPAS -alias Server2 -file myServer2CertCSR.pem
Most van a kulcs, és aláírás tanúsítvány a mappában keytool'om (például C: \ jdk1.3 \ bin). Húzza a mappát CSR OpenSSL és aláírja a CA:

openssl ca -config openssl.cnf -in myServer2CertCSR.pem kijelentkezés myServer2Cert.pem
Ön kap egy aláírt igazolást (aláírta a Kalifornia) - myServer2Cert.pem

Importálja az aláírt tanúsítványt a kulcstárát. Ahhoz, hogy újra import aláírt igazolást, meg kell változtatni myServer2Cert.pem fájlt, különben lesz probléma, ha az importáló. Másolás csak a tanúsítvány szervezet (beleértve a húrok címkézett BEGIN és END) a myServer2CertModified.pem fájlt. A tanúsítványt kell kinéznie, mint ez:

keytool -Import -alias Server2 -file myServer2CertModified.pem -keystore C: \ mystores \ IonaStage \ IPAS
Ön kap egy ilyen üzenetet: „Certificate válasz volt telepítve kulcstárát”.

PS még letörölte ezt a lapot, miután kivenni a többit

előző ◈ a következő