Como criar minha própria cadeia de certificados?

Navegue suas respostas
55

Gostaria de configurar meu próprio Respondente OCSP (apenas para fins de teste). Isso requer que eu tenha um certificado raiz e alguns certificados gerados a partir dele.

Consegui criar um certificado auto-assinado usando o openssl. Eu quero usá-lo como o certificado raiz. O próximo passo seria criar os certificados derivados. Eu não consigo encontrar a documentação sobre como fazer isso no entanto. Alguém sabe onde posso encontrar essa informação?

Editar
Em retrospecto, minha pergunta ainda não foi totalmente respondida. Para esclarecer o problema, vou representar minha cadeia de certificados assim:

ROOT - > A - > B - > C - > ...

Atualmente, posso criar os certificados ROOT e A, mas não descobri como fazer uma cadeia mais longa.

Meu comando para criar o certificado raiz é: 

openssl req -new -newkey rsa:1024 -nodes -out ca.csr -keyout ca.key
openssl x509 -trustout -signkey ca.key -days 365 -req -in ca.csr -out ca.pem

O certificado A é criado assim: 

openssl genrsa -out client.key 1024
openssl req -new -key client.key -out client.csr
openssl ca -in client.csr -out client.cer

Esse comando depende implicitamente do certificado raiz, para o qual ele encontra as informações necessárias no arquivo de configuração openssl.

No entanto, o certificado B deve depender apenas de A, que não está registrado no arquivo de configuração, portanto, o comando anterior não funcionará aqui.

Qual linha de comando devo usar para criar certificados B e além?

Editar
Eu encontrei a resposta em este artigo . O certificado B (cadeia A - > B) pode ser criado com estes dois comandos: 

# Create a certificate request
openssl req -new -keyout B.key -out B.request -days 365

# Create and sign the certificate
openssl ca -policy policy_anything -keyfile A.key -cert A.pem -out B.pem -infiles B.request

Eu também alterei o arquivo openssl.cnf: 

[ usr_cert ]
basicConstraints=CA:TRUE # prev value was FALSE

Essa abordagem parece estar funcionando bem.

    
por StackedCrooked 31.03.2010 / 17:38

4 respostas

25

Você pode usar o OpenSSL diretamente.

  1. Crie uma chave privada da Autoridade de Certificação (esta é a sua chave mais importante): 

    openssl req -new -newkey rsa:1024 -nodes -out ca.csr -keyout ca.key

  2. Crie seu certificado autoassinado da CA: 

    openssl x509 -trustout -signkey ca.key -days 365 -req -in ca.csr -out ca.pem

  3. Emita um certificado de cliente primeiro gerando a chave e, em seguida, solicite (ou use um certificado fornecido pelo sistema externo) e assine o certificado usando a chave privada de sua CA: 

    openssl genrsa -out client.key 1024
openssl req -new -key client.key -out client.csr
openssl ca -in client.csr -out client.cer

(Você pode precisar adicionar algumas opções, já que estou usando esses comandos junto com o meu arquivo openssl.conf. Você pode precisar configurar seu próprio arquivo .conf primeiro.)

    
por 31.03.2010 / 20:03
9

Depois de criar sua CA, você poderá usá-la para assinar:

  • Crie uma chave: 

    openssl genrsa -out key_A.key  1024

  • Crie um csr: 

    openssl req -new -key key_A.key -out csr_A.csr
You are about to be asked to enter information etc....

  • Assine: 

    openssl x509 -req -days 365 -in csr_A.csr -CA CA_certificate_you_created.crt \
-CAkey CA_key_you_created.key -set_serial 01 -out crt_A.crt

    e assim por diante, substituindo * _A por * _B e CA_certificate_you_created.crt por crt_A.crt e CA_key_you_created.key por key_A.key

Sua mudança: 

basicConstraints=CA:TRUE  # prev value was FALSE

significa que os certificados emitidos por você podem ser usados para assinar outros certificados.

    
por 29.04.2012 / 19:54
7

O OpenSSL vem com um script Perl "CA.pl" para ajudá-lo a criar um certificado raiz auto-assinado CA , juntamente com a chave privada correspondente, além de alguns arquivos e diretórios simples para ajudar a manter rastrear qualquer certs futuro que você assina (também conhecido como issue) com essa CA raiz. Ele também ajuda a gerar outros pares de chaves e solicitações de assinatura de certificado (CSRs) e ajuda a processar esses CSRs (ou seja, emitem certificados para eles) e muito mais.

Observe que muitos produtos exigem que os certificados de CA contenham um determinado atributo, marcando-os como certificados de CA, ou não serão aceitos como signatários / emissores válidos de outros certificados. Se o certificado autoassinado que você criou não contiver esse atributo, talvez você tenha problemas para fazer com que outro software o trate como um certificado de CA raiz válido.

Se bem me lembro, a sintaxe é algo assim: 

CA.pl -newca    # Create a new root CA  

CA.pl -newreq   # Create a new CSR

CA.pl -sign     # Sign a CSR, creating a cert  

CA.pl -pkcs12   # Turn an issued cert, plus its matching private key and trust chain, into a .p12 file you can install on another machine
    
por 31.03.2010 / 19:51
-1

Encontrei este post: link

É para o Node.JS, mas o script está em este repositório GitHub usa os comandos openSLL para criar um certificado CA raiz e um certificado de domínio.

Execute usando: bash make-root-ca-and-certificates.sh 'example.com'

Ou para localhost usando: bash make-root-ca-and-certificates.sh 'localhost'

make-root-ca-and-certificates.sh 

#!/bin/bash
FQDN=$1

# make directories to work from
mkdir -p certs/{server,client,ca,tmp}

# Create your very own Root Certificate Authority
openssl genrsa \
  -out certs/ca/my-root-ca.key.pem \
  2048

# Self-sign your Root Certificate Authority
# Since this is private, the details can be as bogus as you like
openssl req \
  -x509 \
  -new \
  -nodes \
  -key certs/ca/my-root-ca.key.pem \
  -days 1024 \
  -out certs/ca/my-root-ca.crt.pem \
  -subj "/C=US/ST=Utah/L=Provo/O=ACME Signing Authority Inc/CN=example.com"

# Create a Device Certificate for each domain,
# such as example.com, *.example.com, awesome.example.com
# NOTE: You MUST match CN to the domain name or ip address you want to use
openssl genrsa \
  -out certs/server/privkey.pem \
  2048

# Create a request from your Device, which your Root CA will sign
openssl req -new \
  -key certs/server/privkey.pem \
  -out certs/tmp/csr.pem \
  -subj "/C=US/ST=Utah/L=Provo/O=ACME Tech Inc/CN=${FQDN}"

# Sign the request from Device with your Root CA
# -CAserial certs/ca/my-root-ca.srl
openssl x509 \
  -req -in certs/tmp/csr.pem \
  -CA certs/ca/my-root-ca.crt.pem \
  -CAkey certs/ca/my-root-ca.key.pem \
  -CAcreateserial \
  -out certs/server/cert.pem \
  -days 500

# Create a public key, for funzies
# see https://gist.github.com/coolaj86/f6f36efce2821dfb046d
openssl rsa \
  -in certs/server/privkey.pem \
  -pubout -out certs/client/pubkey.pem

# Put things in their proper place
rsync -a certs/ca/my-root-ca.crt.pem certs/server/chain.pem
rsync -a certs/ca/my-root-ca.crt.pem certs/client/chain.pem
cat certs/server/cert.pem certs/server/chain.pem > certs/server/fullchain.pem
    
por 06.11.2018 / 23:59

Tags

Em um link simbólico apontando para '127.0.1.1:+xxxxx', qual é o caractere mais para? Como reduzo o tamanho do ícone da área de trabalho no Windows 7?