Come creare un'autorità di certificazione

March 17

SSL utilizza Autorità di certificazione (CA) per garantire l'integrità di crittografia a chiave pubblica. L'autorità di certificazione verifica la chiave pubblica del singolo e firma con una firma digitale. Due CA noti sono Verisign e Thawte. E 'possibile eseguire il proprio CA se si utilizza OpenSSL. I certificati creati sono esclusivamente per uso personale e non saranno considerati attendibili da parte di individui esterni. Tuttavia, essi sono utili per inviare dati protetti all'interno di una intranet o un server personale.

istruzione

1 Aprire una finestra di terminale per accedere a un prompt dei comandi, dove potrete digitare i seguenti comandi.

2 Digitare il comando "su" per passare all'utente root.

3 Digitare il comando "mkdir -m 0755 / etc / pki_personal" per creare la directory per i file di certificazione.

4 Creare l'albero delle directory autorità di certificazione con il seguente comando:
mkdir -m -0755 / etc / pki_personal / my_CA / etc / pki_personal / my_CA / private / etc / ppki_personal / my_CA / certs / etc / pki_personal / my_CA / newcerts / etc / pki_personal / my_CA / CRL

5 Digitare il comando "cp /etc/pki/tls/openssl.cnf /etc/pki_personal/my_CA/my.cnf" per copiare il file di configurazione OpenSSL per la nuova directory.

6 Digitare il comando "chmod 0600 /etc/pki_personal/my_CA/my.cnf" per cambiare i permessi sul file my.cnf.

7 Digitare il comando "tocco /etc/pki_personal/my_CA/index.txt" per creare il file di database per OpenSSL.

8 Digitare il comando "echo '01'> / etc / pki_personal / my_CA / serial" per impostare il numero di serie del certificato di 01.

9 Navigare nella / / / directory etc pki_personal my_CA e digitare il seguente comando per creare il certificato di autorità di certificazione e la chiave:
req OpenSSL -config my.cnf -nuovo -x509 -extensions v3_ca -keyout privato / my_ca.key out privati ​​certs / my_ca.crt -days 1700
Digitare una passphrase quando richiesto.

10 Aprire il file my.cnf in un editor di testo e modificare i valori in modo da riflettere la vostra directory personalizzata e certificazione certificato di autorità e la chiave.

11 Spostarsi nella directory / etc / pki_personal / my_CA e creare la richiesta di certificazione con il seguente comando:
req OpenSSL -config my.cnf -nuovo -nodes -keyout privato / server.key -out server.csr -days 182
Digitare le informazioni del certificato quando richiesto.

12 Impostare l'autorizzazione della chiave privata con i seguenti comandi:
chown root.root /etc/pki_personal/my_CA/private/server.key
chmod 0400 /etc/pki_personal/my_CA/private/server.key

13 Digitare il seguente comando per firmare la richiesta di certificato:
OpenSSL ca -config my.cnf -policy policy_anything -out certs / server.crt -infiles server.csr
Fornire la chiave privata per firmare la richiesta.

14 Digitare il comando "rm -f /etc/pki_personal/my_CA/server.csr" per eliminare la richiesta di certificato.

15 Digitare i seguenti comandi per verificare il certificato:
openssl x509 -in certs / server.crt -noout -text
OpenSSL verificare -purpose sslserver -CAfile /etc/pki_personal/my_CA/certs/my_CA.crt /etc/pki_personal/my_CA/certs/server.crt