Как создать собственную цепочку сертификатов?

Question

Как создать собственную цепочку сертификатов?

Я хотел бы настроить свой собственный ответчик OCSP (только для целей тестирования). Это требует, чтобы у меня был корневой сертификат и несколько сертификатов, созданных из него.

мне удалось создать самозаверяющий сертификат с помощью OpenSSL. Я хочу использовать его в качестве корневого сертификата. Следующим шагом будет создание производных сертификатов. Однако я не могу найти документацию о том, как это сделать. Кто-нибудь знает где я могу найти этого информацию?

Edit

Оглядываясь назад, мой вопрос еще не полностью ответил. Чтобы прояснить проблему, я представлю цепочку сертификатов следующим образом:

ROOT -> A -> B -> C -> ...

в настоящее время я могу создать ROOT и сертификаты, но я не узнал, как сделать более длинную цепочку.

моя команда для создания корневого сертификата:

openssl req -new -newkey rsa:1024 -nodes -out ca.csr -keyout ca.key
openssl x509 -trustout -signkey ca.key -days 365 -req -in ca.csr -out ca.pem

сертификат является создан примерно так:

openssl genrsa -out client.key 1024
openssl req -new -key client.key -out client.csr
openssl ca -in client.csr -out client.cer

эта команда неявно зависит от корневого сертификата, для которого она находит необходимую информацию в файле конфигурации openssl.

сертификат B, однако, должен полагаться только на A, который не зарегистрирован в конфигурационном файле, поэтому предыдущая команда здесь не будет работать.

какую командную строку следует использовать для создания сертификатов B и выше?

Edit

Я нашел ответ в этот статья. Сертификат B (цепь A - > B) может быть создан с этими двумя командами:

# Create a certificate request
openssl req -new -keyout B.key -out B.request -days 365

# Create and sign the certificate
openssl ca -policy policy_anything -keyfile A.key -cert A.pem -out B.pem -infiles B.request

Я также изменил openssl.cnf-файл:

[ usr_cert ]
basicConstraints=CA:TRUE # prev value was FALSE

этот подход, кажется, работает хорошо.

23

задан StackedCrooked

15.04.2023 11:00 Количество просмотров материала

2516

4 ответа

108	65	32	76	5	9	11	6	4	22

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя

Email

Похожие вопросы про тегам:

certificate

ssl

score 25 · Answer 1

вы можете использовать OpenSSL напрямую.

создать закрытый ключ Центра сертификации (это ваш самый важный ключ):
```
openssl req -new -newkey rsa:1024 -nodes -out ca.csr -keyout ca.key
```
создайте свой САМОЗАВЕРЯЮЩИЙ сертификат CA:
```
openssl x509 -trustout -signkey ca.key -days 365 -req -in ca.csr -out ca.pem
```
выдать сертификат клиента, сначала генерируя ключ, затем запросить (или использовать предоставленный внешней системой), а затем подписать сертификат с помощью закрытого ключа вашего CA:
```
openssl genrsa -out client.key 1024
openssl req -new -key client.key -out client.csr
openssl ca -in client.csr -out client.cer
```

(вы можете чтобы добавить некоторые параметры, поскольку я использую эти команды вместе с моим openssl.файл conf. Возможно, вам придется настроить свой собственный .файл conf первым.)

score 9 · Answer 2

после того, как вы создали свой CA вы можете использовать его, чтобы подписать таким образом:

создайте ключ :
```
openssl genrsa -out key_A.key  1024
```

создать csr:

openssl req -new -key key_A.key -out csr_A.csr
You are about to be asked to enter information etc....

знак это :
```
openssl x509 -req -days 365 -in csr_A.csr -CA CA_certificate_you_created.crt \
-CAkey CA_key_you_created.key -set_serial 01 -out crt_A.crt
```
и так далее заменив *_A на *_B и CA_certificate_you_created.crt С crt_A.crt и CA_key_you_created.key С key_A.key

изменение :

basicConstraints=CA:TRUE  # prev value was FALSE

означает, что выданные сертификаты можно использовать для подписи других сертификатов. сертификаты.

score 7 · Answer 3

OpenSSL поставляется со сценарием Perl "CA.pl" чтобы помочь вам создать самозаверяющий root CA cert, наряду с соответствующим закрытым ключом, а также несколько простых файлов и каталогов, которые помогут отслеживать любые будущие сертификаты, которые вы подписываете (a.k.a. проблема) с этим корневым CA. Это также помогает вам генерировать другие пары ключей и запросы подписи сертификата (CSR) и помогает вам обрабатывать те CSR (то есть, сертификаты выпуска для них), и больше.

обратите внимание, что многие продукты требуют сертификаты ЦС содержат определенный атрибут, отмечающий их как сертификаты CA, иначе они не будут приняты в качестве действительных подписантов/издателей других сертификатов. Если созданный самозаверяющий сертификат не содержит этого атрибута, могут возникнуть проблемы с получением другого программного обеспечения для обработки его как действительный сертификат корневого центра сертификации.

если я правильно помню, синтаксис примерно такой:

CA.pl -newca    # Create a new root CA  

CA.pl -newreq   # Create a new CSR

CA.pl -sign     # Sign a CSR, creating a cert  

CA.pl -pkcs12   # Turn an issued cert, plus its matching private key and trust chain, into a .p12 file you can install on another machine

score -1 · Answer 4

Я нашел этот пост: https://stackoverflow.com/questions/19665863/how-do-i-use-a-self-signed-certificate-for-a-https-node-js-server

Это для узла.JS, но скрипт в это GitHub repo использует команды openslll для создания корневого сертификата CA и сертификата домена.

запуск с помощью:bash make-root-ca-and-certificates.sh 'example.com'

или для localhost с помощью:bash make-root-ca-and-certificates.sh 'localhost'

make-root-ca-and-certificates.sh

#!/bin/bash
FQDN=

# make directories to work from
mkdir -p certs/{server,client,ca,tmp}

# Create your very own Root Certificate Authority
openssl genrsa \
  -out certs/ca/my-root-ca.key.pem \
  2048

# Self-sign your Root Certificate Authority
# Since this is private, the details can be as bogus as you like
openssl req \
  -x509 \
  -new \
  -nodes \
  -key certs/ca/my-root-ca.key.pem \
  -days 1024 \
  -out certs/ca/my-root-ca.crt.pem \
  -subj "/C=US/ST=Utah/L=Provo/O=ACME Signing Authority Inc/CN=example.com"

# Create a Device Certificate for each domain,
# such as example.com, *.example.com, awesome.example.com
# NOTE: You MUST match CN to the domain name or ip address you want to use
openssl genrsa \
  -out certs/server/privkey.pem \
  2048

# Create a request from your Device, which your Root CA will sign
openssl req -new \
  -key certs/server/privkey.pem \
  -out certs/tmp/csr.pem \
  -subj "/C=US/ST=Utah/L=Provo/O=ACME Tech Inc/CN=${FQDN}"

# Sign the request from Device with your Root CA
# -CAserial certs/ca/my-root-ca.srl
openssl x509 \
  -req -in certs/tmp/csr.pem \
  -CA certs/ca/my-root-ca.crt.pem \
  -CAkey certs/ca/my-root-ca.key.pem \
  -CAcreateserial \
  -out certs/server/cert.pem \
  -days 500

# Create a public key, for funzies
# see https://gist.github.com/coolaj86/f6f36efce2821dfb046d
openssl rsa \
  -in certs/server/privkey.pem \
  -pubout -out certs/client/pubkey.pem

# Put things in their proper place
rsync -a certs/ca/my-root-ca.crt.pem certs/server/chain.pem
rsync -a certs/ca/my-root-ca.crt.pem certs/client/chain.pem
cat certs/server/cert.pem certs/server/chain.pem > certs/server/fullchain.pem

Apple	$173,24	+0,81%
Amazon	$114,49	-1,94%
Microsoft	$325,19	+3,61%
Google	$123,44	+2,11%
Netflix	$364,74	-0,03%
Intel	$27,45	-5,34%
Facebook	$254,49	+2,11%
Tesla	$185,54	+1,44%
Tencent	$322,40	-3,01%