Как создать собственную цепочку сертификатов?

Question

Я хотел бы настроить свой собственный ответчик OCSP (только для целей тестирования). Это требует, чтобы у меня был корневой сертификат и несколько сертификатов, сгенерированных из него.

Мне удалось создать самозаверяющий сертификат с помощью openssl. Я хочу использовать его в качестве корневого сертификата. Следующим шагом будет создание производных сертификатов. Я не могу найти документацию о том, как это сделать, однако. Кто-нибудь знает, где я могу найти эту информацию?

редактировать
Оглядываясь назад, я еще не полностью ответил на мой вопрос. Чтобы прояснить проблему, я представлю свою цепочку сертификатов следующим образом:

КОРЕНЬ -> A -> B -> C -> ...

В настоящее время я могу создавать сертификаты ROOT и A, но я не нашел, как сделать более длинную цепочку.

Моя команда для создания корневого сертификата:

openssl req -new -newkey rsa:1024 -nodes -out ca.csr -keyout ca.key
openssl x509 -trustout -signkey ca.key -days 365 -req -in ca.csr -out ca.pem

Сертификат А создается так:

openssl genrsa -out client.key 1024
openssl req -new -key client.key -out client.csr
openssl ca -in client.csr -out client.cer

Эта команда неявно зависит от корневого сертификата, для которого она находит необходимую информацию в файле конфигурации openssl.

Однако сертификат B должен полагаться только на A, который не зарегистрирован в файле конфигурации, поэтому предыдущая команда здесь не будет работать.

Какую командную строку следует использовать для создания сертификатов B и выше?

редактировать
Я нашел ответ в этой статье. Сертификат B (цепь A -> B) может быть создан с помощью этих двух команд:

# Create a certificate request
openssl req -new -keyout B.key -out B.request -days 365

# Create and sign the certificate
openssl ca -policy policy_anything -keyfile A.key -cert A.pem -out B.pem -infiles B.request

Я также изменил файл openssl.cnf:

[ usr_cert ]
basicConstraints=CA:TRUE # prev value was FALSE

Этот подход, кажется, работает хорошо.

Answer 1

Вы можете использовать OpenSSL напрямую.

1. Создайте закрытый ключ центра сертификации (это ваш самый важный ключ):

   openssl req -new -newkey rsa:1024 -nodes -out ca.csr -keyout ca.key
   

2. Создайте самозаверяющий сертификат CA:

   openssl x509 -trustout -signkey ca.key -days 365 -req -in ca.csr -out ca.pem
   

3. Выпустите сертификат клиента, сначала сгенерировав ключ, затем запросите (или используйте сертификат, предоставленный внешней системой), затем подпишите сертификат с помощью закрытого ключа вашего ЦС:

   openssl genrsa -out client.key 1024
   openssl req -new -key client.key -out client.csr
   openssl ca -in client.csr -out client.cer
   

(Возможно, вам придется добавить некоторые параметры, так как я использую эти команды вместе с моим файлом openssl.conf. Возможно, вам придется сначала установить собственный файл .conf.)

Answer 2

Как только вы создали свой CA, вы можете использовать его для подписи таким образом:

• Создать ключ:

  openssl genrsa -out key_A.key  1024
  

• Создать CSR:

  openssl req -new -key key_A.key -out csr_A.csr
  You are about to be asked to enter information etc....
  

• Подписать его :

  openssl x509 -req -days 365 -in csr_A.csr -CA CA_certificate_you_created.crt \
  -CAkey CA_key_you_created.key -set_serial 01 -out crt_A.crt
  

  и так далее при замене * _A на * _B и CA_certificate_you_created.crt на crt_A.crt и CA_key_you_created.key на key_A.key

Ваше изменение:

basicConstraints=CA:TRUE  # prev value was FALSE

означает, что выданные вами сертификаты могут использоваться для подписи других сертификатов.

Answer 3

OpenSSL поставляется с Perl-скриптом «CA.pl», который поможет вам создать самозаверяющий корневой сертификат CA , а также с соответствующим закрытым ключом, а также несколькими простыми файлами и каталогами, которые помогут отслеживать любые будущие сертификаты, которые вы подпишете (иначе проблема ) с этим корневым CA. Это также помогает вам создавать другие пары ключей и запросы на подпись сертификатов (CSR) и помогает обрабатывать эти CSR (то есть выдавать сертификаты для них) и многое другое.

Обратите внимание, что многие продукты требуют, чтобы сертификаты CA содержали определенный атрибут, помечающий их как сертификаты CA, или они не будут приняты в качестве действительных подписчиков / эмитентов других сертификатов. Если созданный вами самоподписанный сертификат не содержит этого атрибута, у вас могут возникнуть проблемы с тем, чтобы другие программы воспринимали его как действительный сертификат корневого ЦС.

Если я правильно помню, синтаксис выглядит примерно так:

CA.pl -newca    # Create a new root CA  

CA.pl -newreq   # Create a new CSR

CA.pl -sign     # Sign a CSR, creating a cert  

CA.pl -pkcs12   # Turn an issued cert, plus its matching private key and trust chain, into a .p12 file you can install on another machine    

Answer 4

Вы можете сделать это одной командой:

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365

Вы также можете добавить -nodes (сокращение от DES), если вы не хотите защищать свой закрытый ключ парольной фразой. В противном случае вам будет предложено ввести пароль как минимум из 4 символов.

Параметр days (365) можно заменить любым числом, чтобы повлиять на срок годности. Затем вам будет предложено ввести что-то вроде "Название страны", но вы можете просто нажать Enter и принять значения по умолчанию.

Добавьте -subj '/CN=localhost' чтобы подавить вопросы о содержании сертификата (замените localhost на нужный домен).

Самозаверяющие сертификаты не проверяются третьими лицами, если вы ранее не импортировали их в браузеры. Если вы хотите, чтобы ваш сертификат был принят браузерами без установленной цепочки сертификатов, вы должны использовать сертификат, подписанный центром сертификации (CA).

Answer 5

Я нашел этот пост: https://stackoverflow.com/questions/19665863/how-do-i-use-a-self-signed-certificate-for-a-https-node-js-server

Это для узла.JS, но сценарий в этом репозитории GitHub использует команды openSLL для создания корневого сертификата CA и сертификата домена.

Запустите, используя: bash make-root-ca-and-certificates.sh 'example.com'

Или для локального хоста: bash make-root-ca-and-certificates.sh 'localhost'

make-root-ca-and-certificates.sh

#!/bin/bash
FQDN=$1

# make directories to work from
mkdir -p certs/{server,client,ca,tmp}

# Create your very own Root Certificate Authority
openssl genrsa \
  -out certs/ca/my-root-ca.key.pem \
  2048

# Self-sign your Root Certificate Authority
# Since this is private, the details can be as bogus as you like
openssl req \
  -x509 \
  -new \
  -nodes \
  -key certs/ca/my-root-ca.key.pem \
  -days 1024 \
  -out certs/ca/my-root-ca.crt.pem \
  -subj "/C=US/ST=Utah/L=Provo/O=ACME Signing Authority Inc/CN=example.com"

# Create a Device Certificate for each domain,
# such as example.com, *.example.com, awesome.example.com
# NOTE: You MUST match CN to the domain name or ip address you want to use
openssl genrsa \
  -out certs/server/privkey.pem \
  2048

# Create a request from your Device, which your Root CA will sign
openssl req -new \
  -key certs/server/privkey.pem \
  -out certs/tmp/csr.pem \
  -subj "/C=US/ST=Utah/L=Provo/O=ACME Tech Inc/CN=${FQDN}"

# Sign the request from Device with your Root CA
# -CAserial certs/ca/my-root-ca.srl
openssl x509 \
  -req -in certs/tmp/csr.pem \
  -CA certs/ca/my-root-ca.crt.pem \
  -CAkey certs/ca/my-root-ca.key.pem \
  -CAcreateserial \
  -out certs/server/cert.pem \
  -days 500

# Create a public key, for funzies
# see https://gist.github.com/coolaj86/f6f36efce2821dfb046d
openssl rsa \
  -in certs/server/privkey.pem \
  -pubout -out certs/client/pubkey.pem

# Put things in their proper place
rsync -a certs/ca/my-root-ca.crt.pem certs/server/chain.pem
rsync -a certs/ca/my-root-ca.crt.pem certs/client/chain.pem
cat certs/server/cert.pem certs/server/chain.pem > certs/server/fullchain.pem