Tworzenie katalogów
mkdir /etc/ssl/private /etc/ssl/certs /etc/ssl/newcerts etc/ssl/crl
Utworzenie pliku, który będzie zawierał listę certyfikatów
touch /etc/pki/CA/index.txt
Generowanie klucza prywatnego
openssl genrsa -des3 -out private/cakey.pem 1024
Trzeba wprowadzić od 4 do 1023 znaków, a następnie potwierdzić wprowadzając ciąg drugi raz. Po zakończeniu procedury w katalogu private pojawi się plik cakey.pem z kluczem naszego “Urzędu Certyfikacji”
Generowanie certyfikatu CA
Będąc w katalogu /etc/ssh wpisz polecenie
openssl req -new -x509 -days -key private/cakey.pem -out cacert.pem
Zostaniesz poproszony o wprowadzenie używanego wcześniej klucza oraz zadane zostanie kilka pytań:
- Country Name – tu wpisujesz skrót PL
- Stan lub nazwa prowincji – w przypadku Polski województwo
- Locality Name – Miasto
- Organization Name firma, szkoła itp.
- Organization unit dokładna nazwa organizacji
- Common name – twoja nazwa lub nazwa twojego serwera
Procedura tworzenia certyfikatu dla serwera
Utworzenie klucza prywatnego dla serwera
openssl genrsa -des3 -out private/serwer_key.pem
Wniosek o wystawienie certyfikatu dla serwera
openssl req -new -key private/serwer_key.pem -out serwer-req.pem (uwaga common name musi być inne)
Generowanie certyfikatu serwera
Modyfikacja pliku /etc/ssl/openssl.cnf
nano openssl.cnf
w linii dir trzeba zmienić ścieżkę do katalogu na /etc/ssl
Przygotowanie pliku serial. Najprościej zrobić to tak
echo 1000 > serial
Warto też zmienić prawa na 600 czyli chmod 600 serial
openssl ca -notext -in serwer-req.pem -out serwer.cert.pem