Digitální certifikáty pomocí OpenSSL

Digitální certifikáty pomocí OpenSSL

Není to návod, je to taková ukázka vytvoření certifikátů. Jména a údaje jsou pouze příklady.

Vytvoříme privátní klíč

openssl genrsa -out privkey.pem 2048

Vytvoříme certifikační autoritu. Její pomocí digitálně podepisujete každý certifikát, který chcete používat.

Soubor žádosti o certifikát (CSR).
 
openssl req -passout pass:heslo -subj "/C=CZ/ST=Czech Republic/L=Tlumacov/O=phnetwork/OU=phnetwork server/CN=phnetwork certifikacni server CA/emailAddress=info@phnetwork.cz" -new > phnetwork.ca.cert.csr


Parametr -subj popisuje uživatele certifikátu. Zadejte hodnoty, které budou certifikát popisovat.


Country Name[CZ]: Název státu velkými písmeny dle normy ISO
State or Province Name[]: Czech Republic
Locality Name[]: Město, kde máte sídlo.
Organization Name[]: Název organizace či osoby žádající o certifikát
Organizational Unit Name[]: Název organizační jednotky či oddělení
Common Name[]: Nejdůležitější údaj - jméno pro které bude certifikát vystaven.
Email Address[]: E-mailová adresa



Vytvoříme soubor s klíči phnetwork.ca.key pro uložení soukromého klíče.

openssl rsa -passout pass:heslo -in privkey.pem -out phnetwork.ca.key

Pomocí parametru -passin můžeme odebrat heslo, takže nebudete muset zadávat heslo po každém podepsání certifikátu. To samozřejmě sebou nese rizika.

Vytvoříme digitální certifikát X.509 ze žádosti o certifikát. Certifikát je podepsaný soukromým klíčem CA.

openssl x509 -in phnetwork.ca.cert.csr -out phnetwork.ca.cert -req -signkey phnetwork.ca.key -days 730

Vytvoříme soubor s kódováním PKCS#12 obsahující certifikát a soukromý klíč.

openssl pkcs12 -passout pass:heslo -export -nokeys -cacerts -in phnetwork.ca.cert -out phnetwork.ca.cert.p12 -inkey phnetwork.ca.key

Tím jsme vytvořili certifikát CA (phnetwork.ca.cert.p12), který lze nainstalovat na server a soukromý soubor s klíči (phnetwork.ca.key) kterým můžete podepisovat uživatelské certifikáty.


Vytvoříme žádost o certifikát pro uživatele

openssl req -passout pass:heslo -subj "/C=CZ/ST=Czech Republic/L=Tlumačov/O=phnetwork/OU=phnetwork tester/CN=Pavel Hošek/emailAddress=pavel.hosek@phnetwork.cz" -new > pavelhosek.cert.csr 


Vytvoříme soukromý soubor s klíči bez hesla

openssl rsa -passin pass:heslo -in privkey.pem -out pavelhosek.key

Vytvoříme ze žádosti pro nového uživatele certifikát X.509, pomocí soukromého klíče daného uživatele je podepíšeme a certifikujte jej pomocí soukromého klíče CA.

openssl x509 -req -in pavelhosek.cert.csr -out pavelhosek.cert -signkey pavelhosek.key -CA phnetwork.ca.cert -CAkey phnetwork.ca.key -CAcreateserial -days 730


Vytvoříme souboru kódovaný pomocí PKCS#12

openssl pkcs12 -passout pass:heslo -export -in pavelhosek.cert -out pavelhosek.cert.p12 -inkey pavelhosek.key

A můžeme použít uživatelský certifikát - pavelhosek.cert.p12



Komentáře

Okomentovat

Populární příspěvky z tohoto blogu

Diskové pole NSS4000

Obrázek
Diskové pole NSS4000 Dostalo se mi ruky diskové pole NSS4000 od firmy Linksys. Po pokusu o provedeni upgradu firmwaru, který měl vyřešit problém s připojením k AD ve Windows serveru 2008, blikaly pouze led diody. Protože jsem sám měl před několika lety problém s diskovým polem NSS6000 této firmy, chtěl jsem se na to podívat podrobněji. Toto není návod, uvádím tady takové stručné poznámky. HW – deska má označení BTI ML-1 a moc toho o ní na webu nenajdete.Procesor PMC-Sierra RM7035C, PM8172 system controller, NEC UPD720101 USB 2.0 controller, SafeXcel 1741 security co-processor, IT8907E USB flash controller. Více na www.glaver.org . HW nss4000 Důležité jsou konektory J29 pro připojení RS-TTL a J34 pro jumper, který umožní nabootování jako root. Metoda, kterou uvádějí tvůrci pro obnovu firmwaru diskového pole v dokumentu USB Stick Recovery Instructions.pdf se mi zdála divná. Ten, kdo prováděl upgrade firmware na tomto diskovém poli, se prý o to také pokoušel. Zasouváním...
Další informace

Windows server 2012 – certifikační autorita

Obrázek
Windows server 2012 – certifikační autorita Kole certifikátů a elektronického podpisu je vytvořeno jakési tajemné fluidum. Z čistě technického hlediska se nejedná o nic převratného. Můžeme si je vytvářet sami pro vlastní potřebu. Nic nám v tom nebrání. Certifikační autoritu si jednoduše vytvoříme instalací služby na server. Takto nainstalovanou certifikační autoritu a vydané klíče můžeme využít pro svou správu dat např. v rámci GDPR pro: Digitální podpis (Digital Signature) - pro autentizaci uživatelů nebo ověření integrity dat. Neodvolatelnost (Non Repudiation) - pro ověření pravosti – nepopiratelné odpovědnosti Role AC   Autorita CA     Standalone CA - nemusí být v domén,konfigurace může být ručně publikována v AD, šablony certifikátů se nepoužívají, certifikáty jsou vydávány automaticky nebo po schválení - ale vždy na úrovni CA, vydávání certifikátů je možné provádět pomocí webového rozhraní nebo ručně Enterprise CA - vždy v rámci AD,kon...
Další informace

Reset switche SPS224G4

Obrázek
Reset switche SPS224G4 Byl jsem požádán pokusit se vyresetovat switch do default nastavení. Ovšem chybělo heslo. SPS224G4 Protože přes CLI konzolu jsem dělal pouze konfigurace a nikdy jsem neresetoval heslo a navíc switch to nemusel přežít, bylo to pro mě zajímavé. Po připojení switche k napájení se místo probliknutí led diod jen tak pozvolně a neochotně rozsvěcely a zhasínaly. Watmetr ukázal odběr asi 24W. Rozdělal jsem ho a na desce jsem našel vytečené elektrolytické kondenzátory TEAPO. Elektrolytické kondenzátory Zvláštní je, že paralelně ke kondenzátorům Nippon KY byly připojeny právě tyto kondenzátory TEAPO. Na desce jsem neviděl, nebo jsem si opravdu nevšiml, že by je někdo vyměňoval. Díval jsem se do katalogových listů těchto kondenzátorů a nechápu tuto kombinaci. Pojistka na životnost zařízení? Vyměnil jsem je. Ještě jsem se podíval, jak je připojena seriová konzola. Je to RS232 a připojeno pouze Tx, Rx a zem. Konzola Podle informací z webů má mít při...
Další informace