Články

Navigačný panel

SSL/TLS a certifikačné autority

Ako vytvoriť vlastnú certifikačnú autoritu.



Úvod

Funguje to asi takto, najskôr si musíme vygenerovať privátny kľúč ktorý sa použije pre samotnú certifikačnú autoritu. Pomocou verejného kľúča certifikačnej autority sa potom budú kontrolovať certifikáty na strane užívateľov.

Ďalší krok je vytvoriť certifikačnú autoritu z tohoto privátneho kľúča. Pri tvorbe sa vyberú aj nejaké meta dáta a popis. To je celé.

Potom už len generujeme privátne kľúče pre konkrétne systémy alebo domény zvlášť,

z nich následne vytvoríme CSR (Certificate Signign Request) kde zase nastavíme nejaké meta dáta ako je napríklad konkrétna doména pre ktorú to má byť použité.

CSR potom vezmeme a necháme ho podpísať našou CA. U toho je potrebný práve CSR, privátny kľúč certifikačnej autority, a samotná certifikačná autorita.

Po podpísaní získame teda certifikát k našemu privátnemu kľúči. Tento privátny kľúč aj s naším certifikátom vložíme do napríklad nejakého serverového systému. Keď sa naň niekto pripojí tak serveru mu tento certifikát ponúkne, aby si klient overil na koho sa pripojil. Klient následne vyhodnotí či certifikačnej autorite ktorou sa to podpísalo dôveruje alebo nie.

Na to aby jej dôverovala si ju musí byť naimportovat do operačného systému, alebo táto klientská aplikácia si vie priamo načítať certifikát tejto CA.

Vygenerovanie súkromného kľúča

Obyčajný RSA kľúč spravíme takto

openssl genpkey -algorithm RSA -out sukromny_kluc.pem

Použijeme jak na vytvorenie súkromného kľúča pre certifikačnú autoritu, tak pre samotné systémy. Na miesto RSA môžeme použiť napríklad ešte DSA , EC , Ed25519 , Ed448 .

Vytvorenie self-sign certifikačnej autority

openssl req -x509 -new -key sukromny_kluc_pre_CA.pem -out ca.crt

Vytvorenie CSR zo súkromného kľúča

CSR sa potom použije a pošle certifikačnej autorite, aby nám podpísala náš verejný kľúč

openssl req -new -key sukromny_kluc.pem -out novy.csr

Podpísanie CSR certifikačnou autoritou

openssl x509 -req -in novy.csr -CA ca.crt -CAkey sukromny_kluc_pre_CA.pem -CAcreateserial -out podpisany_certifikat.crt -days 365 -sha256


Príspevok pridaný dňa: 26.01.2024 od užívatela: Dodoslav.
Zanechat komentár:

Nick:

Správa: