1

У меня есть файл .key который содержит данные закрытого ключа, файл .crt который будет сертификатом с открытым ключом, и, насколько мне известно, это все для шифрования с открытым ключом, верно?

Не совсем. Чтобы достичь своей цели, я также должен создать cakey.pem и cacert.pem, для которых я не знаю, для чего они.

У меня есть пример с настройкой TLS с Postfix MTA.

Я делаю:

openssl genrsa 1024 > smtpd.key
openssl req -new -key smtpd.key -x509 -days 3650 -out smtpd.crt

эти два - smtpd.key и smtpd.crt - являются ключом (секретным ключом) и сертификатом (с открытым ключом).

что

openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650

Файлы cakey.pem и cacert.pem для?

|источник

1 ответ1

3

Вам не нужен центр сертификации. Самозаверяющий сертификат совершенно действителен сам по себе. Действительно, это его собственный CA.

Если вы хотите использовать выделенный CA, вам нужно вместо этого подписать smtpd.crt с CA. ЦС используются для установления цепочки доверия. Если клиент доверяет ЦС, он автоматически доверяет всем подписанным им сертификатам.

Вот руководство по созданию самозаверяющего центра сертификации и подписи с ним сертификата, полученного от Parallels:

  • openssl genrsa -out rootCA.key 2048
  • openssl req -x509 -new -nodes -key rootCA.key -days 3650 -out rootCA.pem
  • openssl genrsa -out server.key 2048
  • openssl req -new -key server.key -out server.csr
  • openssl x509 -req -in server.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out server.crt -days 730
|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .