TinyCA (GPL, Perl) - GTK-утилита для организации CA на базе OpenSSL.
Simple SSL Cert HOWTO - краткая справка по командам OpenSSL. Перевод:
Создание нового центра сертификации (certificate authority, CA)
- Отредактировать параметры
openssl.cnf
и вызвать CA.pl -newca
для создания секретного ключа CA и его сертификата. Вручную делать можно, но не рекомендуется, CA.pl сделает лучше. Местонахождение CA.pl - в ALTLinux /var/lib/ssl/misc/
, используемый файл конфигурации см. в скрипте.
Создание нового секретного ключа SSL
- Создание нового незашифрованного ключа RSA длиной 1024 бита в формате PEM:
openssl genrsa -out privkey.pem 1024
.
Для создания зашифрованного ключа добавить -des3
.
- Создание запроса на подпись сертификата (certificate signing request, CSR) для данного секретного ключа:
openssl req -new -key privkey.pem -out certreq.csr
- Для создания самоподписанного сертификата - подпись CSR секретным ключом:
openssl x509 -req -in certreq.csr -signkey privkey.pem -out newcert.pem
- Для подписи CSR секретным ключом центра сертификации (CA): то же самое, только с указанием секретного ключа сервера сертификации.
- О генерации CSR для передачи на подпись внешнему центру сертификации см. прочую документацию.
Работа с сертфикатами в формате PEM
- PEM - текстовый формат, в нём возможно хранение как сертификатов и секретных ключей, так и прочей информации. Возможно объединение нескольких PEM-файлов в один простым cat.
- Для некоторых служб в PEM-файле требуется параметр (число) Diffie-Hellmann, которое в формате PEM генерится как
openssl gendh -out dh.pem
. Полученный файл объединяется с cert.pem и key.pem.
Просмотр и проверка сертификатов
- Просмотр содержимого CSR:
openssl req -noout -text -in certreq.csr
- Просмотр содержимого сертификата:
openssl x509 -noout -text -in newcert.pem
- Просмотр отпечатков сертификата:
openssl x509 -fingerprint -noout -in newcert.pem
(хеш MD5, для SHA1 добавить ключ -sha1
).
- Проверка секретного ключа, CSR и подписанного сертификата сравнением вывода (должен быть одинаковым): —-
openssl rsa -noout -modulus -in privkey.pem |openssl md5
openssl req -noout -modulus -in certreq.csr |openssl md5
openssl x509 -noout -modulus -in newcert.pem |openssl md5
- Для просмотра сертификатов работающего сервера можно использовать нечто типа
openssl s_client -connect localhost:636 -showcerts
- Для серверов SMTP/POP3 требуются ключи
-starttls [smtp/pop3]
Ссылки
Дата создания: 2006-05-24 12:45:27 (Фетисов Н. А. (naf))
Последнее изменение: 2006-06-02 16:35:31 (Фетисов Н. А. (naf))
Владелец: Фетисов Н. А. (naf)
Версия: 2 Все версии