Створення ключів та сертифікатів
підготовчі дії
Знайдіть, де в вашому дистрибутиві розташовується файл openssl.cnf. Зазвичай це директорія / etc / ssl. / Etc / pki / tls або / usr / share / ssl. Перейдіть в неї.
Для полегшення подальшої роботи з програмою, додайте в конфігураційний файл наступні рядки:
Перша секція описує генерацію ключів для серверів, друга для клієнтів. Можна додати окремі секції для кожного типу сертифікатів, які ви збираєтеся виписувати.
Поміняйте значення наступних змінних:
Створіть додаткові файли.
Якщо немає директорії CA, її теж необхідно створити.
кореневий сертифікат
Обов'язково змініть права доступу до файлу ключа! Це дуже секретна інформація.
Файл сертііфката ca.crt бажано скопіювати на всі машини-клієнти, які будуть користуватися згенерували вами сертифікатами. І додати його в список CA серверів сертифікації.
Створення ключа та сертифіката
Спочатку сгенерируем запит на підпис в центр сертифікації. Зверніть увагу на параметр -extensions server. він говорить, що буде використовуватися секція server конфігураційного файлу. Якщо ви хочете створити ключі для клієнта, використовуйте параметр -extensions client (звичайно, якщо така секція присутній в конфігураційному файлі).
Тепер самі підпишемо сертифікат:
Закриємо доступ до файлу ключа: