Subscribe on YouTube

Настройка центра сертификации (CA)

Настройка центра сертификации для поддержки регистрации сертификатов.

Для начала нам потребуется GnuTLS certtool.

Устанавливаем утилиту

yum install gnutls-utils

Создаем приватный ключ для CA

certtool --generate-privkey > cakey.pem

Необходимо подписать ключ.
Для этого создадим файл с деталями подписи и назовем ca.info

cn = Name of your organization
ca
cert_signing_key

Генерируем подпись

certtool --generate-self-signed --load-privkey cakey.pem \
--template ca.info --outfile cacert.pem

Получится приблизительно следующее:

Generating a self signed certificate...
X.509 Certificate Information:
Version: 3
Serial Number (hex): 543d05eb
Validity:
Not Before: Tue Oct 14 11:15:55 UTC 2014
Not After: Wed Oct 14 11:15:55 UTC 2015
Subject: CN=WORLD
Subject Public Key Algorithm: RSA
Modulus (bits 2048):
d0:d9:17:17:2c:03:bf:30:40:15:a8:aa:e3:00:4b:dd
ae:f2:25:3e:0f:78:c9:ca:b5:33:04:88:50:34:cb:ff
cd:f1:00:b6:4f:5b:3c:cb:aa:c4:f9:00:88:97:10:78
2e:16:e1:6f:e4:33:5c:77:0e:21:1e:32:aa:df:98:ca
e5:a5:00:25:f1:21:ac:0e:dd:cf:1a:2b:71:c2:6f:4c
02:c9:b9:53:22:1f:85:09:ad:ee:6a:95:eb:35:8f:c2
66:33:12:ff:f3:00:9d:25:4c:5c:b7:24:48:c1:d8:46
a3:83:d4:ac:e4:00:00:c0:0c:17:a4:71:20:00:86:ba
16:01:83:eb:00:d2:37:e5:5f:97:ba:24:b3:7d:cb:00
56:26:5a:29:b2:49:f7:3f:64:d7:a1:10:be:a9:cd:60
24:f2:2a:54:df:f8:07:19:eb:ec:00:97:cb:12:18:86
9b:15:e8:7f:79:ea:55:5b:3f:5b:ce:ec:9a:73:2f:8d
e2:1f:76:05:20:7f:96:22:ed:9a:e8:85:00:35:3b:9a
45:ce:fa:a4:d4:44:00:f2:bb:6b:1d:f2:1b:f8:36:d8
00:3e:41:66:6f:ff:8d:e9:96:c2:00:e4:5e:ba:4b:e9
70:75:00:a7:87:98:6a:ec:8d:f7:55:67:e7:2b:97:57
Exponent (bits 24):
01:00:01
Extensions:
Basic Constraints (critical):
Certificate Authority (CA): TRUE
Subject Key Identifier (not critical):
cc391c54vt5cq4t4qctq3ct4q316fcb
Other Information:
Public Key Id:
cc391c54vt5cq4t4qctq3ct4q316fcb
Signing certificate...

ca.info можно удалить

Теперь у нас два файла:

  • cakey.pem - Приватный CA ключ (ДЕРЖАТЬ В СТРОЖАЙШЕМ СЕКРЕТЕ!)
  • cacert.pem - CA сертификат (публичный).

cacert.pem должен быть установлен на все клиенты и сервера, чтобы разрешить им доверять сертификатам, выданным нашим CA.
Рекомендуемая директория для размещения cacert.pem:
/etc/pki/CA/cacert.pem для всех клиентских машин и серверов.

Поделиться Комментарии