|
Получение сертификатов - самая загадочная
вещь во всех документах по oid. Такой
обтекаемости формулировок мне давно не
удавалось видеть :)).Вы должны получить
клиентский и рутовый (root) сертификаты пишут
они, но как это сделать на практике -
забывают сказать. Но выход есть.
Замечательная идея принадлежит Диме
Шапошникову: использовать open_ssl для
получения сертификатов. Далее я цитирую
Диму:
1.По адресу http://www.openssl.org
скачиваем openssl toolkit и инсталлируем его.
2. Создаем директорию где будет сидеть наш
ЦЕНТР далее от нее:
mkdir demoCA
mkdir demoCA/private - здесь будет сидеть сертификат ЦЕНТРА(и ключ)
mkdir demoCA/newcerts - здесь будут сидеть сертификаты
cp /dev/null ./demoCA/index.txt - индексный файл сертификатов
cp /dev/null ./demoCA/serial - серийный номер для следующего сертификата
в serial пишем 01
3. Создаем файл .rnd содержащий "random bits"
и записываем его в свой home
openssl rand -rand /dev/urandom 1024 > .rnd
cp .rnd куда-надо
Пример Random файла.
По вопросам местоположения random-file лучше
всего проконсультироваться на FAQ http://www.openssl.org.
т.к. место может отличаться от home. При
отсутствии /dev/urandom существует патч для openssl (но
не у меня)
4. Запускаем ./new_root_ca.sh
для создания СА сертификата
5. Файл пользовательского запроса на
сертификат переименовываем в имя_пользователя.req
и кладем его в свою директорию
6. Запускаем sign-user-cert.sh
<имя_пользователя> и получаем файл
имя_пользователя.user.crt Это и есть user
сертификат.
Результат:
./demoCA/cacert.pem - trusted сертификат
имя_пользователя.user.crt - user сертификат
PS: удаление ненужного сертификата: openssl
ca -revoke <имя файла-сертификата>
|
