Tanúsítványok
létrehozása
A tanúsítványokat nem szokás túlságosan hosszú időre generálni, általában 1 évre szokták. Persze nem árt megjegyezni, hogy mikor fog lejárni, mert az azt használó alkalmazásoknál előfordulhat, hogy nem fognak működni a tanúsítvány lejárta után. A tanúsítvány akkor is érvényét veszti, ha saját maga ugyan még érvényes lenne, ám az őt aláíró CA lejár.
Mivel évente újra kell majd generálnunk az összes
tanúsítványunkat5.3, ezért érdemesnek tűnik valamiképp
automatizálni a feladatot. Ennek érdekében minden tanúsítványhoz
hozzunk létre saját .cnf fájlt (amely neve megegyezik a
tanúsítványban szereplő commonName-mel). Példaként nézzük
meg a samba.akarmi.intra.cnf fájl tartalmát.
[ req_dn ] countryName = HU stateOrProvinceName = BAZ localityName = Miskolc organizationName = "Akarmi Kft" organizationalUnitName = tanusitvany_generalo commonName = samba.akarmi.intra emailAddress = security@akarmi.intra
Nagyon fontos, hogy a commonName opciónál azt a nevet kell megadnunk, amely néven meg fogják szólítani a szervert!
# cat CA.cnf samba.akarmi.intra.cnf > atmeneti.cnf # openssl req -nodes -newkey rsa:1024 -config atmeneti.cnf -keyout samba.akarmi.intra.key.nopass -out samba.akarmi.intra.csr Generating a 1024 bit RSA private key .............................++++++ ...............++++++ writing new private key to 'samba.akarmi.intra.key.nopass' -----
Ennek hatására egy samba.akarmi.intra.csr és egy
samba.akarmi.intra.key.nopass nevű fájllal lettünk
gazdagabbak. Gyakorlatilag bármilyen neveket adhatunk ezeknek a
fájloknak (miként a CA generálásakor is bármilyen neveket
választhatunk a fájloknak), mégis érdemesebb ,,beszédes'' neveket
alkalmazni.
Kosa Attila
2009-03-23