OpenSSL

Apr 16, 2015 16:31

Создание ключа для SSL-сертификата.
Для создания rsa-ключей используется команда genrsa:
  openssl genrsa [-out file] [-des | -des3 | -idea] [-rand file] [bits]

Команда genrsa создает секретный ключ длиной bits в формате PEM, шифрует его одним из алгоритмов: des (56 бит), des3 (3-й des 168 бит) или idea (128 бит). При выборе алгоритма шифрования будет запрошен пароль для шифрации создаваемого секретного ключа

Если не указывать -des3, то он будет без пароля:
ключ 2048 бита, сохраняется в файл key.pem
  openssl genrsa -des3 -out key.pem 2048

Генерация CSR-запроса:
  openssl req -new -key key.pem -out domain-name.csr

или продвинутый вариант, указав файл настроек req.conf:
  openssl req -new -config req.conf -key key.pem -out MySSL.csr

примерное содержимое req.conf:
[req]
# Секция основных опций
default_bits = 2048
# Число бит
req_extensions = v3_req
#Дополнительные свойства
prompt = no
# Брать параметры из конфига неинтерактивный режим
distinguished_name = req_distinguished_name
# DN организации, выдавшей сертификат
[req_distinguished_name]
C = RU
[v3_req]
subjectAltName = @alt_names
[alt_names]

Внимание:

вся информация должна вводиться на английском языке
запрещено использовать символы: < > ~ ! @ # $ % ^ * / \ ( ) ?.,&

Country Name - двухсимвольный код страны согласно ISO-3166. «RU» для России.
State or Province Name: название области или региона без сокращений; Moscow
Locality Name: название города или населенного пункта; Moscow
Organization Name: Точное наименование организации в соответствии с Уставом организации на английском языке. Не используйте сокращенное наименование организации.; MyCompany Inc
Organizational Unit Name: название подразделения, для которого заказывается сертификат (необязательное поле); IT
Common Name: полностью определенное (FQDN) доменное имя; www.mydomain.com
Email Address: контактный e-mail адрес (необязательное поле);
A challenge password: не заполняется;
An optional company name: альтернативное имя компании (не заполняется).

openssl pkcs12 -export -out certificate.pfx -inkey private.key -in access_timlis_ru.crt -certfile root_pem_geotrust.crt

http://www.adminmemo.ru/?p=490
http://habrahabr.ru/post/96190/
http://www.opennet.ru/base/sec/openssl_howto.txt.html

CSR Decoder
https://www.sslshopper.com/csr-decoder.html
https://certlogik.com/decoder/
https://ssltools.websecurity.symantec.com/checker/views/csrCheck.jsp

openssl, ssl

Previous post Next post
Up