Handcode létre openssl tanúsítványok
Készítsen igazolások: OpenSSL
A gyakorlati haszna ennek a cikknek, megtanulják, hogyan kell gyorsan bele az SSL tanúsítványok OpenSSL szoftver. Természetesen a tanúsítvány kiadása egy speciális hitelesítés-és akkor nem kell aggódnia, a részleteket a tanúsítvány létrehozása, különösen a sorozatgyártású változat, akkor is, hogy egy igazolás bemutatásának egyik ilyen központ, de a hibakereső / teszt mód, akkor igazolásokat tette saját (egyszer, és ez volt). Nem fogom elmondani, hogy a tanúsítvány és mi SSL szükség van rá, de a megértéséhez a cikk, meg kell tudni. A jobb érthetőség kedvéért ezt a cikket, arra összpontosítunk, hogy néhány alapvető lépést:- Töltse le és telepítse az OpenSSL.
- Állítsa be a munkahelyen.
- CA bizonyítványt állít ki az ő listája visszavont tanúsítványok CRL.
- Csináljunk egy igazolást kérését a hitelesítő hatóság.
- Mi bizonyítványt állít ki kérésre.
- Mi hozzá a tanúsítványokat a tanúsítványtárolót.
1. Töltse le a honlapról a legújabb verzióját OpenSSL, és telepíteni a merevlemezre.
2. Az egyszerűség kedvéért hozzá a PATH változó a teljes elérési utat a bin OpenSSL könyvtár. Továbbá annak érdekében, hogy létrehoz a kulcs, tanúsítvány kérelmek, igazolások, stb nem volt összekeverve a közös halomba, azt javasoljuk, hogy hozzon létre a maguk számára a munka könyvtár mySSL, az alábbi alkönyvtárakat:
Ebben az esetben a C: \ mySSL \ egy működő könyvtár, mely tartalmazza az alábbi alkönyvtárakat és fájlokat:- kulcs - a könyvtár saját kulcs
- CSR - katalógus kér egy igazolást (tanúsítvány-aláírási kérésre)
- cer - tanúsítványok könyvtár nyilvános használatra (Certificate)
- CRL - katalógus CRL (tanúsítvány-visszavonási lista)
- p12 - p12 bizonyítvány könyvtár, egy privát kulcs (Personal Information Exchange File)
- database.txt - Base ki ezeket az igazolásokat
- serial.txt - file az aktuális tanúsítvány sorszámát
3. A kiadás a saját CA tanúsítvány azt, hogy privát kulcs a mi CA tanúsítványt. Ezt meg lehet tenni a futás a parancsot:
#openssl genrsa -des3 kijelentkezés gomb / ca.key 1024
Ezután hozzon létre egy CA igazolást a futás a parancsot:
#openssl REQ -config openssl.conf -new -x509 -days 365 gombos kulcs / ca.key kijelentkezés CER / ca.cer -subj „/ C = RU / ST = Russia / L = Moszkva / O = MyCompany / OU = CA / cn = localhost "
Itt fogunk létrehozni egy tanúsítvány visszavonási listát a CA tanúsítványt:
#openssl ca -config openssl.conf -gencrl kijelentkezés CRL / ca.crl
Azt, hogy export PKCS12. tele a privát kulcsot és a CA-tanúsítványt magát:
#openssl pkcs12 -export -in cer / ca.cer -inkey kulcs / ca.key kijelentkezés p12 / ca.p12
4. A CA-tanúsítvány kész, most már indul kibocsátó leányvállalata SSL tanúsítványt, hogy ezt a kérést az SSL-tanúsítvány:
# Kódszó REQ -config openssl.conf -new -newkey RSA: 1024 -keyout kulcs / test.key -nodes kijelentkezés CSR / test.csr -subj „/ C = RU / ST = Russia / L = Moszkva / O = MyCompany / OU = IT Departament / cn = localhost "
5. Erősítse meg az igazolást kérését a CA-tanúsítvány (serifikat iratkozz fel a CA-tanúsítvány):
#openssl ca -policy policy_any -config openssl.conf -in CSR / test.csr -days 360 kijelentkezés CER / test.cer
Azt, hogy export PKCS12 SSL tanúsítványok:
#openssl pkcs12 -export kijelentkezés p12 / test.p12 -in CER / test.cer -inkey kulcs / test.key
6. Annak érdekében, hogy adjunk a tanúsítványok (PKCS12) a tanúsítványban üzletben kell a Microsoft Management Console (parancs MMC) beépülő modul hozzáadása „bizonyítványt” a helyi gépen, akkor a behozatali engedélyek és a tanúsítvány visszavonási lista a megfelelő mappába (a mappa „Személyes „és a” Megbízható legfelső szintű hitelesítésszolgáltatók „).
végső bat-script letölthető gyors telepítés. Ez a szkript létrehozza a szerkezet, a konfigurációs fájlt és megkezdi openssl.conf tanúsítvány létrehozásának folyamata.
PS: Védje a fájlokat saját gombokat (* .key) és PKCS12 fájlt (* .p12), ha lehetséges tárolja az adatfájlokat különleges médiára. A fájlok elérését kell nagyon korlátozott!
bizonyítvány fájlok (* .cer), és a tanúsítvány-visszavonási lista (* .crl) kifejezetten nyilvános hozzáférés, beleértve a kiküldetés az interneten.
Tanúsítvány-visszavonási lista (* .crl) frissíteni kell, amilyen gyakran csak lehetséges.
UPD: Miután a szükségességét, hogy a vizsgált CA tanúsítvány kerül sor, mindenképpen távolítsa el a megbízható tanúsítványok listájáról.
Szia, Ilya. Hogy csinálod?
Van egy probléma, és most az egész nap ül a számítógép előtt, keresi a választ:
A csapat itt:
OpenSSL ca -passin pass: jelszó -policy policy_anything kijelentkezés "certificate.crt" -infiles "request.csr"
1-ből 1 tanúsítványkérelmekre tanúsított elkövetni? [Y / n] y
Írja ki az adatbázisban 1 új bejegyzések
Data Base időpontja
Van egy módja annak, hogy automatikusan válaszoljon a kérdésekre y: Jelentkezzen ki az igazolást? [Y / n]: 1-ből 1 bizonyítvány kérések tanúsított, elkövetni?
Köszönöm a választ.
Megvan számos kérdés merült fel ismét a fenti létrehozását tanúsítványok :)
1. Mi van bejegyezve a config fájl véletlen bár, és nem áll rendelkezésre a könyvtárban?
2. Amikor létre leányvállalatot bizonyítvány én cer adunk 01.pem könyvtárak - mi ez, és mit kell csinálni vele?
3. hogy hozzon létre egy kulcsot a gyermek át az igazolást kért, így kell lennie?
4. kapunk, mivel nem szükséges, hogy hozzon létre egy privat kulcsokat és a kérelmet az ügyfél számára, mert meg tudod csinálni mindent a szerver és a kliens adja pkcs12 és jelszó file)), vagy sem :)
1. Nem emlékszem, de megtalálható a gyökér vagy egy mappát OpenSSL. Ez pusztán egy szolgáltatást fájl tárolja a mag a rand, és ez néha .rand, úgy, hogy volt elrejtve unix.
3. Tudod, hogy a kért (például újabb kulcs védelem) és el lehet hagyni, ahogy van. Csak tartsa a gombot a CA az egyértelmű veszélye.
4. Van-e lehetőség, ha az ügyfél bízik a szerver és a csatorna jelszavát sebességváltó gombokat.
@Nurlan
Ez a kérdés már be van állítva, hogy őszinte legyek, nincs egyértelmű válasz, nos, kivéve egyirányú linkek.