Генерация ключей ssl. » IT FOundation – Поваренная книга системного администратора.
Только нужная и полезная документация. Регистрируйтесь, пишите, комментируйте!
5 мая 2009

Генерация ключей ssl.

опубликовано в почтовые системы |


Сгенерировать ключ можно следующей командой
openssl req -new -outform PEM -out exim.crt -newkey rsa:2048 \
-nodes -keyout exim.key -keyform PEM -days 9999 -x509

Сертификат центра авторизации в не интерактивном режиме (т.е. режиме не требующем ввода дополнительной информации с клавиатуры) генерируются следующей командой:

openssl req -new -x509 -set_serial 0 -days 2922 -subj ‘/C=RU/ST=$REGION/L=$CITY/O=$VALUE1/OU=$VALUE2/CN=$VALUE3/emailAddress=$E-MAIL’ -keyout ca.key -out ca.crt
-reg означает что мы будем создавать само подписанный сертификат
-x509 – формат в котором храниться сертификат
-nodes – не использовать пароль для шифрования ключа.
“file1”и “file2” могут быть одним и тем же файлом; ключ и сертификат разграничены, и могут быть идентифицированы независимо.
-days – период, в течение которого сертификат действителен
-newkey – указывает что мы генерируем новый ключ,  а не изменяем ранее имеющийся.
-keyout – указывает в каком файле будет создан новый ключ
-out – указывает файл в котором будет находиться сертификат.
При чтении встроенной документации OpenSSL возможности задать длину ключа для Центра Авторизации в явной форме при генерации не нашёл. Используется прописанное в /etc/ssl/openssl.cnf значение. Вообще на начальном этапе полезно почитать этот конфиг и привести к нужному виду.

Просмотреть параметры изданного сертификата (и проверить правильность введённых значений) можно командой:

# openssl x509 -noout -text -in ca.crt | less
-noout – указывает что мы выводим информация не в файл , а в стандарный выходной поток (терминал)
-text – данные выводятся в текстовом виде.

Для того чтобы диагностировать ssl и tls есть 2 удобные комманды:

К примеру для проверки соединения по ssl с локальным ldap сервером:
# openssl s_client -connect localhost:636
А для тестирования возможности работы по tls с локальным ldap сервером:
# gnutls-cli-debug -p 636 localhost


Написать комментарий


− 2 = семь