Assinando o pedido de certificado com a autoridade de certificação criada no openssl

2

Eu criei uma autoridade de certificação no Ubuntu usando este comando:

openssl req -config /etc/ssl/openssl.cnf -new -x509 -keyout ck.pem -out cacert.pem -days 365

Em seguida, criei uma solicitação de certificado usando:

openssl req -out C.csr -new -newkey rsa:2048 -nodes -keyout c_p.key

Eu gostaria de assinar esta solicitação usando a autoridade de certificação que criei. Por isso eu executei:

openssl ca -config /etc/ssl/openssl.cnf -policy optional -out C.crt -infiles C.csr

Mas recebo o erro:

Using configuration from /etc/ssl/openssl.cnf unable to load CA
private key 140189274035872:error:0906D06C:PEM
routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: ANY
PRIVATE KEY

Como posso me livrar desse erro? Esse comando usará a autoridade que eu defini acima ou talvez alguma autoridade padrão no sistema?

EDITAR:

Para completar, deixo os passos que precisava fazer:

  1. Crie os arquivos relevantes:
mkdir demoCA
mkdir ./demoCA/newcerts
touch ./demoCA/index.txt

Crie também um arquivo "serial" no demoCA que contém 01 e uma nova linha no final.

  1. Certificar:
openssl ca -config /etc/ssl/openssl.cnf -cert cacert.pem -keyfile ck.pem -out C.crt -infiles C.csr
    
por Javier 16.07.2017 / 00:58

1 resposta

4

Você criou um novo par de chaves com o primeiro comando. Agora você precisa informar ao OpenSSL CA sobre isso.

Edite /etc/ssl/openssl.cnf e verifique se as linhas private_key e certificate apontam para os novos locais de chave privada e de arquivo de certificado ou use os argumentos -cert e -keyfile no comando openssl ca para substituir os valores em /etc/ssl/openssl.cnf .

    
por 16.07.2017 / 09:12