| 27.2.5.1.1. Vytvoření certifikační autority | ||
|---|---|---|
 | 27.2.5.1. Vytvoření certifikátů |  |
| 27.2.5.1.1. Vytvoření certifikační autority | ||
|---|---|---|
| | 27.2.5.1. Vytvoření certifikátů | |
Vytvoření certifikátů podle Nate Carlson. Nejdříve si připravíme certifikační autoritu. Na stroji který buse sloužit jako certifikační autorita nainstalujeme openssl. Pro experiment použiji přímo VPN server. V ostrém použití toto není vhodné a je lepší použít jiný stroj.
# apt-get install openssl
Nyní se v editoru otevřeme soubor /etc/ssl/openssl.cnf a opravíme konfiguraci. Opravil jsem standardní dobu platnosti certifikátů na 30 dní default_days = 30 a hodnotu CRL na 5 dní default_crl_days = 5. V ostrém provozu je lépe použít více, např jeden až dva roky.
pikachu:~#/usr/lib/ssl/misc/CA.sh -newcaCA certificate filename (or enter to create)Enter Making CA certificate ... Using configuration from /usr/lib/ssl/openssl.cnf Generating a 1024 bit RSA private key .................................++++++ .......++++++ writing new private key to './demoCA/private/./cakey.pem' Enter PEM pass phrase:certifikujCountry Name (2 letter code) [CZ]: State or Province Name (full name) [Some-State]:.Locality Name (eg, city) [Breclav]: Organization Name (eg, company) [FIRMA a.s.]: Organizational Unit Name (eg, section) []:IT DepartementCommon Name (eg, YOUR name) []:CAEmail Address []:ca@firma.czpikachu:~#
Nyní vygenerujeme crl soubor.
pikachu:~#openssl ca -gencrl -out crl.pemUsing configuration from /usr/lib/ssl/openssl.cnf Enter PEM pass phrase:certifikujpikachu:~#
| |  | |
| 27.2.5.1. Vytvoření certifikátů |  | 27.2.5.1.2. Vytvoření certifikátu |