CA létrehozása
Hozzunk létre egy CA.cnf nevű fájlt az alábbi tartalommal,
amely a CA-nk alapértelmezett beállításait fogja
tartalmazni.
[ ca ] default_ca = CA_akarmi [ CA_akarmi ] dir = ./ certs = $dir/certs crl_dir = $dir/crl new_certs_dir = $dir serial = $dir/serial database = $dir/index.txt certificate = $dir/CA.crt private_key = $dir/CA.key default_days = 365 default_crl_days = 30 default_md = md5 preserve = no policy = policy_anything [ policy_anything ] countryName = optional stateOrProvinceName = optional localityName = optional organizationName = optional organizationalUnitName = optional commonName = supplied emailAddress = optional [ req ] default_bits = 1024 encrypt_key = yes distinguished_name = req_dn x509_extensions = cert_type prompt = no [ cert_type ] nsCertType = server [ req_dn ] countryName = HU stateOrProvinceName = BAZ localityName = Miskolc organizationName = "Akarmi Kft" organizationalUnitName = CA_kiallito commonName = akarmi.intra emailAddress = security@akarmi.intra
Ezután nézzük meg, hogy pontosan milyen parancsokat is kell kiadnunk ahhoz, hogy saját CA-t hozzunk létre, amely 10 évig működik.
# openssl req -set_serial 00 -passout "pass:CA_jelszo" -new -x509 -keyout CA.key -out CA.crt -days 3650 -config CA.cnf Generating a 1024 bit RSA private key ..++++++ ..............++++++ writing new private key to 'CA.key' -----
És már készen is van a saját CA-nk, amelyet 2 fájl is bizonyít: a
CA.crt és a CA.key. A CA.key fájlra nagyon
kell vigyáznunk, mert ha valaki hozzájut (és valahogyan kitalálja
az általunk adott jelszót, amely jelen esetben a CA_jelszo),
akkor ugyanolyan tanúsítványokat (certificate-eket) tud
létrehozni, mint mi magunk. Ne felejtsük el, hogy a
CA.crt fájlt kell elérhetővé tennünk a kliensek számára,
hogy képesek legyenek ellenőrizni az aláírt tanúsítványokat.
Ehhez az ellenőrzéshez be kell importálniuk ezt a fájlt a
böngészőbe, valamint - szükség esetén - a levelezőprogramba.
Ellenőrizzük le, hogy mi is található benne:
# openssl x509 -serial -issuer -subject -dates -fingerprint -noout -in CA.crt serial=00 issuer= /C=HU/ST=BAZ/L=Miskolc/O=Akarmi Kft/OU=CA_kiallito/CN=akarmi.intra/emailAddress=security@akarmi.intra subject= /C=HU/ST=BAZ/L=Miskolc/O=Akarmi Kft/OU=CA_kiallito/CN=akarmi.intra/emailAddress=security@akarmi.intra notBefore=Mar 26 14:53:13 2007 GMT notAfter=Mar 23 14:53:13 2017 GMT SHA1 Fingerprint=E1:83:66:97:0D:33:2A:B6:8E:32:F4:32:28:61:F2:BD:45:7A:0F:92
Kosa Attila
2009-03-23