Обсуждение:Создание ключей и сертификатов

Материал из Wiki Open Book.

Перейти к: навигация, поиск
Пользовательского поиска

Предлогаю перевести некоторые параметры (+ оставить ENG вариант) 


 [ server ]
 basicConstraints=CA:FALSE
 nsCertType                      = server
 nsComment                       = "OpenSSL Generated Server Certificate"
 subjectKeyIdentifier=hash
 authorityKeyIdentifier=keyid,issuer:always

Поменяйте значение следующих переменных: 

 [ CA_default ]
 #Рабочий каталог для базы данных клиентских ключец
 dir             = ./
 Каталог для новых сертификатов
 certs           = $dir/certs            # Where the issued certs are kept
 crl_dir         = $dir                  # Where the issued crl are kept
 #Индекс базы данных выписанных ключей
 database        = $dir/index.txt        # database index file.
 Каталог куда будут складыватся выписанные сертификаты
 new_certs_dir   = $dir                  # default place for new certs.

 Собственный самоподписанный сертификат CA
 certificate     = $dir/CA/ca.crt
 #Номер текущего ключа
 serial          = $dir/serial           # The current serial number
 crl             = $dir/crl.pem          # The current CRL
 #Закрытый ключ сертификата CA
 private_key     = $dir/CA/ca.key        # The private key
 RANDFILE        = $dir/CA/.rand         # private random number file

Далее Надо указать , что надо создать директорию CA +) Да глупо звучит, но уже по схеме меня спрашивали.

И еще не проще все написать одной стракой 

 openssl req -new -newkey rsa:1024 -x509 -days3560 -nodes \
 -out ca.crt -keyout ca.key -subj /C=RU/ST=- \
 /L=Moscow/O=krykov.biz/OU=Certificate \
 /CN=krukov.biz/emailAddress=artur@krykov.biz

ну и опишу что есть что 

 -req - запрос на создание нового сертификата
 -new Создание запроса на сертификат
 -newkey rsa:1024 длина RSA ключа сертификата
 -x509 создание самоподписанного сертификата, а не CSR
 -days 3650 - срок действия сертификата . Значение должно быть больше срока действия создоваемого    сертификата сервера и клиентов.
 -nodes - флаг, указывающий не шифровать ключ
 -out ca.crt - сертификат
 -keyout ca.key - закрытый ключ сертификата

 -subj - данные сертификата:
 C - код страны
 ST - название республики,региона, округа
 L - название города/деревни
 O - название организацит
 OU - Отдел организации
 CN - Имя Для сервера - Server Name, для клиентов - что угодно
 emailAddress почтовый адресс администратора сервера

Сам не стал добовлять, так как не смог представить как прально офрмить =) За сим откланюсь...

--icCE Aka TuLiss 10:46, 3 февраля 2006 (CET)

Получено с http://wiki.kryukov.biz/wiki/%D0%9E%D0%B1%D1%81%D1%83%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5:%D0%A1%D0%BE%D0%B7%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%B9_%D0%B8_%D1%81%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%82%D0%BE%D0%B2
Личные инструменты