Certificate management

Материал из DvoWiki
Перейти к: навигация, поиск

Введение

Данный матерьял написан по SSL HOWTO. Для более полного ознакомления настоятельно рекомендуется обратиться к первоисточнику.

Создание сертификатов

1. Создаём root сертификат которым мы всё будем подписывать срок должен быть большой около 10 лет. Для этого сертификата надо сохранить пароль. Если этим сертификатом подписывать другие то потребуется вводить пароль. Так что его придётся запомнить. CA.pl -newcert либо openssl req -config /etc/ssl/openssl.cnf -new -x509 -keyout private/cakey.pem -out cacert.pem -days 3650

2. Теперь когда у нас есть рутовый сертификат мы должны отделить его от текстового наполения, чтобы остался один сертификат. Этот полученный сертификат надо выложить в доступ чтобы благодарные пользователи использовали его в своих браузерах. openssl x509 -in cacert.pem -out cacert.crt

3. Далее когда у нас есть рутовый сертификат наступает пора создать новые подписанные им сертификаты. Для начала создадим запрос на сертификат и подпишем его нашим рутовым сертификатом. Так как вновь созданные сертификаты могут использоваться для обеспечения безопасности серверов, то следует отключить у них защиту паролем дополнительным ключом -nodes. Это делается для того чтобы при перезапуске сервиса не получать просьбу о вводе пароля. Сделать это можно так: CA.pl -newreq что создаёт сертификат всего на год, если не поправить тот свмый CA.pl либо openssl req -config /etc/ssl/openssl.cnf -new -nodes -keyout newreq.pem -out newreq.pem -days 365 и, собственно, подписываем CA.pl -sign либо openssl ca -config /etc/ssl/openssl.cnf -policy policy_anything -out newcert.pem -infiles newreq.pem Эта команда подпишет запрос рутовым ключом cakey.pem. Рутовый ключ и путь к нему задаюются в /etc/ssl/openssl.conf. Для того чтобы чётко указать какой рутовый ключ и сертификат использовать для подписи можно использовать коючи -keyfile cakey.pem -cert cacert.pem.

Отзыв сертификатов

openssl -revoke newcert.pem После этого надо сгенерировать список отзываемых сертификатов openssl ca -gencrl -config /etc/ssl/openssl.cnf -out crl/sopac-ca.crl или с указанием даты следующего обновления списка. openssl ca -gencrl -config /etc/ssl/openssl.cnf -crldays 7 -crlexts crl_ext -out crl/sopac-ca.crl


Обновление сертефиката

openssl ca -config /etc/ssl/openssl.cnf -policy policy_anything -out newcert.pem -infiles newreq.pem -startdate [now] -enddate [previous enddate+365days]

Печать содержимого сертификата

openssl x509 -in newcert.pem -noout -text