Обсуждение:Создание ключей и сертификатов

Материал из Wiki Open book
Перейти к: навигация, поиск

Предлогаю перевести некоторые параметры (+ оставить ENG вариант)


 [ server ]
 basicConstraints=CA:FALSE
 nsCertType                      = server
 nsComment                       = "OpenSSL Generated Server Certificate"
 subjectKeyIdentifier=hash
 authorityKeyIdentifier=keyid,issuer:always

Поменяйте значение следующих переменных:

 [ CA_default ]
 #Рабочий каталог для базы данных клиентских ключец
 dir             = ./
 Каталог для новых сертификатов
 certs           = $dir/certs            # Where the issued certs are kept
 crl_dir         = $dir                  # Where the issued crl are kept
 #Индекс базы данных выписанных ключей
 database        = $dir/index.txt        # database index file.
 Каталог куда будут складыватся выписанные сертификаты
 new_certs_dir   = $dir                  # default place for new certs.
 Собственный самоподписанный сертификат CA
 certificate     = $dir/CA/ca.crt
 #Номер текущего ключа
 serial          = $dir/serial           # The current serial number
 crl             = $dir/crl.pem          # The current CRL
 #Закрытый ключ сертификата CA
 private_key     = $dir/CA/ca.key        # The private key
 RANDFILE        = $dir/CA/.rand         # private random number file

Далее Надо указать , что надо создать директорию CA +) Да глупо звучит, но уже по схеме меня спрашивали.

И еще не проще все написать одной стракой

 openssl req -new -newkey rsa:1024 -x509 -days3560 -nodes \
 -out ca.crt -keyout ca.key -subj /C=RU/ST=- \
 /L=Moscow/O=krykov.biz/OU=Certificate \
 /CN=krukov.biz/emailAddress=artur@krykov.biz

ну и опишу что есть что

 -req - запрос на создание нового сертификата
 -new Создание запроса на сертификат
 -newkey rsa:1024 длина RSA ключа сертификата
 -x509 создание самоподписанного сертификата, а не CSR
 -days 3650 - срок действия сертификата . Значение должно быть больше срока действия создоваемого    сертификата сервера и клиентов.
 -nodes - флаг, указывающий не шифровать ключ
 -out ca.crt - сертификат
 -keyout ca.key - закрытый ключ сертификата
 -subj - данные сертификата:
 C - код страны
 ST - название республики,региона, округа
 L - название города/деревни
 O - название организацит
 OU - Отдел организации
 CN - Имя Для сервера - Server Name, для клиентов - что угодно
 emailAddress почтовый адресс администратора сервера

Сам не стал добовлять, так как не смог представить как прально офрмить =) За сим откланюсь...

--icCE Aka TuLiss 10:46, 3 февраля 2006 (CET)

Инструменты
    
Личные инструменты