Tworzenie katalogów

mkdir /etc/ssl/private /etc/ssl/certs /etc/ssl/newcerts etc/ssl/crl

Utworzenie pliku, który będzie zawierał listę certyfikatów

touch /etc/pki/CA/index.txt

Generowanie klucza prywatnego

openssl genrsa -des3 -out private/cakey.pem 1024

Trzeba wprowadzić od 4 do 1023 znaków, a następnie potwierdzić wprowadzając ciąg drugi raz. Po zakończeniu procedury w katalogu private pojawi się plik cakey.pem z kluczem naszego “Urzędu Certyfikacji”

Generowanie certyfikatu CA

Będąc w katalogu /etc/ssh wpisz polecenie

openssl req -new -x509 -days -key private/cakey.pem -out cacert.pem

Zostaniesz poproszony o wprowadzenie używanego wcześniej klucza oraz zadane zostanie kilka pytań:

• Country Name – tu wpisujesz skrót PL
• Stan lub nazwa prowincji – w przypadku Polski województwo
• Locality Name – Miasto
• Organization Name firma, szkoła itp.
• Organization unit dokładna nazwa organizacji
• Common name – twoja nazwa lub nazwa twojego serwera

Procedura tworzenia certyfikatu dla serwera

Utworzenie klucza prywatnego dla serwera

openssl genrsa -des3 -out private/serwer_key.pem

Wniosek o wystawienie certyfikatu dla serwera

openssl req -new -key private/serwer_key.pem -out serwer-req.pem (uwaga common name musi być inne)

Generowanie certyfikatu serwera

Modyfikacja pliku /etc/ssl/openssl.cnf

nano openssl.cnf

w linii dir trzeba zmienić ścieżkę do katalogu na /etc/ssl

Przygotowanie pliku serial. Najprościej zrobić to tak

echo 1000 > serial

Warto też zmienić prawa na 600 czyli chmod 600 serial

openssl ca -notext -in serwer-req.pem -out serwer.cert.pem