форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Безопасность системы)
Изначальное сообщение		[ Отслеживать ]

"openssl создание подчиненных сертификатов"	+/–
Сообщение от dmitry_smr (ok) on 11-Ноя-09, 10:21
Есть задача создать следущую иеархию есть корневой сертификат СА, нужны еще два CASub1 и CASub2, которые будут подписаны СА и которыми можно будет подписывать клиетские сертификаты. Как не пробовал их (CASub1 и CASub2) подписать, у них слетает поле CA:TRUE и подписанные имм клиентские сертификаты не валидны. Подскажите как сделать.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "openssl создание подчиненных сертификатов"	+/–
Сообщение от mclroy on 12-Ноя-09, 21:38
>есть корневой сертификат СА, нужны еще два CASub1 и CASub2, которые будут >подписаны СА и которыми можно будет подписывать клиетские сертификаты. Как не >пробовал их (CASub1 и CASub2) подписать, у них слетает поле CA:TRUE Создаем CA. Создаем запросы из CASub1 и CASub2. Подписываем их в CA. Подписываем selfsign в CASub1 и CASub2 соответственно. А Вы как делаете?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "openssl создание подчиненных сертификатов"	+/–
Сообщение от mclroy on 13-Ноя-09, 04:07
Поправка. На примере CA и CASub1 Создаем Root CA. [CA]$ openssl req -x509 -new -keyout private/cakey.pem -out cacert.pem [CA]$ openssl x509 -in cacert.pem -noout -text         Issuer: C=..., CN=ca/...         Subject: C=..., CN=ca/...         X509v3 extensions:             X509v3 Subject Key Identifier:                 46:73:83:89:B3:C3:01:15:0D:B6:DF:C4:80:31:91:DF:ED:06:6E:67             X509v3 Authority Key Identifier:                 keyid:46:73:83:89:B3:C3:01:15:0D:B6:DF:C4:80:31:91:DF:ED:06:6E:67             X509v3 Basic Constraints:                 CA:TRUE Создаем CASub1. [CASub1]$ openssl req -x509 -new -keyout private/cakey.pem -out cacert.pem [CASub1]$ openssl x509 -in cacert.pem -noout -text         Issuer: C=..., CN=casub1/...         Subject: C=..., CN=casub1/...         X509v3 extensions:             X509v3 Subject Key Identifier:                 4F:5D:3F:7A:24:62:97:2F:3E:CC:A4:04:D7:CD:C4:45:D2:6B:CD:54             X509v3 Authority Key Identifier:                 keyid:4F:5D:3F:7A:24:62:97:2F:3E:CC:A4:04:D7:CD:C4:45:D2:6B:CD:54             X509v3 Basic Constraints:                 CA:TRUE Подписываем CASub1 в CA. [CASub1]$ openssl x509 -x509toreq -in cacert.pem -signkey private/cakey.pem -out requests/casub1req.pem [CA]$ openssl ca -extensions v3_ca -policy policy_anything -out certs/casub1.pem -in ../CASub1/requests/casub1req.pem [CASub1]$ openssl x509 -in casub1.pem -noout -text         Issuer: C=..., CN=ca/...         Subject: C=..., CN=casub1/...         X509v3 extensions:             X509v3 Subject Key Identifier:                 4F:5D:3F:7A:24:62:97:2F:3E:CC:A4:04:D7:CD:C4:45:D2:6B:CD:54             X509v3 Authority Key Identifier:                 keyid:46:73:83:89:B3:C3:01:15:0D:B6:DF:C4:80:31:91:DF:ED:06:6E:67             X509v3 Basic Constraints:                 CA:TRUE
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "openssl создание подчиненных сертификатов"	+/–
	Сообщение от dmitry_smr (ok) on 17-Ноя-09, 10:53
	спасибо помогло. делал почти также. запутался около "openssl ca -extensions v3_ca -policy policy_anything -out certs/casub1.pem -in ../CASub1/requests/casub1req.pem". немного по другому пытался подписать.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "openssl создание подчиненных сертификатов"	+/–
	Сообщение от Дмитрий (??) on 28-Мрт-13, 11:55
	Подскажите где ошибка? #Формирование закрытого ключа и самоподписного сертификата для RootCA openssl genrsa -des3 -out root_ca.key 4096 #Создание ключа корневого сертификата openssl req -new -key root_ca.key –out root_ca.csr #Создание запроса на подпись openssl x509 -req -days 3650 -in root_ca.csr -signkey root_ca.key -out root_ca crt #Создание самоподписного сертификата на 10 лет #Формирование ключа для CA openssl genrsa -des3 -out ca.key 4096 #Генерация закрытого ключа CA openssl req -new -key root_ca.key -out ca.csr # Создание запроса на подпись открытого ключа и сертификата закрытым ключом root_ca.key openssl x509 -req -days 1825 -in ca.csr -key root_ca.key -out ca.crt #Генерация открытого ключа и его подпись с помощью закрытого ключа root_ca.key #Формирование ключа для клиентов openssl genrsa -des3 -out client.key 4096 #Генерация закрытого ключа клиента openssl req -new -key ca.key -out client.csr #Создание запроса на подпись открытого ключа и сертификата закрытым ключом openssl x509 -req -days 548 -in pos.csr -key ca.key -out client.crt #создание открытого ключа и сертификата для клиентов на основе закрытого ключа CA сроком на 1,5 года
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "openssl создание подчиненных сертификатов"	+/–
	Сообщение от Дмитрий (??) on 28-Мрт-13, 11:56
	>[оверквотинг удален] > открытого ключа и сертификата закрытым ключом root_ca.key > openssl x509 -req -days 1825 -in ca.csr -key root_ca.key -out ca.crt #Генерация > открытого ключа и его подпись с помощью закрытого ключа root_ca.key > #Формирование ключа для клиентов > openssl genrsa -des3 -out client.key 4096 #Генерация закрытого ключа клиента > openssl req -new -key ca.key -out client.csr #Создание запроса на подпись открытого > ключа и сертификата закрытым ключом > openssl x509 -req -days 548 -in pos.csr -key ca.key -out client.crt #создание > открытого ключа и сертификата для клиентов на основе закрытого ключа CA > сроком на 1,5 года Все сертификаты оказываются самоподписными и без связи с верхним уровнем СА
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема