Prokazuje totožnost při SSL komunikaci, čímž umožňuje přístup k zabezpečeným webovým stránkám (https) a FTP serverům (ftps).
U certifikátů, které nejsou obsaženy v prohlížeči musí každý uživatel minimálně jednou potvrdit důvěryhodnost certifikátu – přijmout certifikát.
Grafickou nadstavbou openssl pro správu certifikační autority je např. program tinyCA (tinyCA2):
Typy souborů:
Vytvoření certifikátu:
openssl req -new -x509 -nodes -out certifikat-public.crt -keyout certifikat-private.key -days 1098
Zobrazení obsahu souborů:
Některé aplikace vyžadují certifikát a klíč v jednom souboru, můžeme je tedy spojit příkazem:
cat certifikat-public.crt certifikat-private.key > certifikat-crtkey.pem
/etc/ssl/openssl.cnf
(nepoužívejte diakritiku):
dir = /etc/ssl/myCA # Korenovy adresar CA certificate = $dir/cacert_my.pem # Certifikat CA private_key = $dir/private/cakey_my.pem # Soukromy klic CA default_days = 1098 # Platnost certifikatu (3 roky) policy = policy_anything default_bits = 4096 countryName_default = CZ stateOrProvinceName_default = JM localityName_default = Vyskov 0.organizationName_default = DHosting.cz organizationalUnitName_default = CA commonName = Common Name (e.g. Certification Authority DHosting.cz, myweb.com) emailAddress_default = info@email.cz authorityKeyIdentifier=keyid,issuer:always
/etc/ssl/myCA/
a jeho podadresáře csr/
, newcerts/
a private/
.touch /etc/ssl/myCA/index.txt; echo 01 > /etc/ssl/myCA/serial
openssl req -new -x509 -nodes -out cacert_my.pem -keyout cakey_my.pem -days 3600
Certifikacni autorita TD (Tomas Danek)
cakey_my.pem
přesuňte do adresáře /etc/ssl/myCA/private/
a nastavte práva chmod 400
openssl x509 -in cacert_my.pem -text > cacert_my.pem.txt
cacert_my.pem
a změníte u něj koncovku na .crt
, je možné tento certifikát instalovat jako důvěryhodnou autoritu na počítače uživatelů./etc/ssl/myCA/csr/
vytvořte žádost o certifikát
openssl req -new -nodes -out myweb.cz.csr -keyout /etc/ssl/myCA/private/myweb.cz.key
myweb.cz
(obsah pole Common Name se kontroluje při komunikaci se serverem přes https – pro testovací účely může být jako obsah pole použita i IP adresa)/etc/ssl/myCA/private/myweb.cz.key
nastavte práva chmod 400
openssl enc -des3 -salt -in myweb.cz.key -out myweb.cz.key_encrypt
openssl enc -des3 -d -salt -in myweb.cz.key_encrypt -out myweb.cz.key
openssl ca -in myweb.cz.csr -out /etc/ssl/myCA/certs/myweb.cz.crt
/etc/ssl/myCA/certs/
se vytvoří certifikát myweb.cz.crt
a do podadresáře newcerts/
certifikační autority se uloží kopie 01.pem
(příkaz c_rehash /etc/ssl/myCA/certs
umožňuje dodatečnou regeneraci souboru ca-certificates.crt
, který obsahujíce všechny certifikáty)openssl x509 -noout -fingerprint -in myweb.cz.crt
-sha1
je možné změnit na -md5
)Vygenerování klíče .p12 (z veřejného klíče .crt a rozšifrovaného klíče .key) vhodného pro instalaci do osobních certifikátů prohlížeče:
openssl pkcs12 -export -in /etc/ssl/myCA/certs/myweb.cz.crt -inkey /etc/ssl/myCA/private/myweb.cz.key -out cert.p12