Sertifikaatide haldamine openssl abil: Difference between revisions

From ICO wiki
Jump to navigationJump to search
← Older edit
Lliibert (talk | contribs)
53 edits
No edit summary
Lliibert (talk | contribs)
53 edits
No edit summary
 
(8 intermediate revisions by the same user not shown)
Line 1: Line 1:
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]
==Sissejuhatus==
Loome enda sertifitseerimiskeskuse (CA - Certificate Authority) ja allkirjastame sellega sertifikaate. Selleks kasutame OpenSSL'i. OpenSSL http://www.openssl.org/ on vaba tarkvaraline SSL ja TLS protokollide implementatsioon ja pakub veel tugevat üldotstarbelist krüptograafiat.
Juhendi kasutamiseks on vajalik openssl ver 0.9.8 või uuem ja opertasioonisüsteemina on kasutatud Ubuntu Server 10.10 keskkonda.
Openssl versiooni vaatamine:
openssl version
OpenSSL 0.9.8o 01 Jun 2010
==Mis on sertifikaat==
==Mis on sertifikaat==
Andmekogum mis kinnitab kellegile kolmandale, et esitatud andmed on tõesed ja ajakohased.


==Laiendatud kinnitusega sertifikaat (EV)==
==Laiendatud kinnitusega sertifikaat (EV)==
X.509 avaliku võtme sertifikaat mida kasutatakse veebilehitsejate juures. Täpsemalt: [http://en.wikipedia.org/wiki/Extended_Validation_Certificate Extended Validation Certificate]


===EV sertifikaadid on töötavad järgmiste brauseritega===
===EV sertifikaadid on töötavad järgmiste veebilehitsejatega===
[[File:ev2.jpg|thumb|upright|alt=EV sertifikaadid|EV veebilehitsejas]]
* Google Chrome
* Google Chrome
* IE 5.01+
* IE 5.01+
Line 17: Line 27:
==Sertifikaatide loomine==
==Sertifikaatide loomine==
===Sertifitseerimiskeskuse loomine (CA)===
===Sertifitseerimiskeskuse loomine (CA)===
Loome enda sertifitseerimiskeskuse, millega hakkame sertifitseerima.
Loome enda sertifitseerimiskeskuse, millega hakkame sertifitseerima.


  $ openssl genrsa -aes256 -out root_ca.key 4096
  openssl genrsa -aes256 -out root_ca.key 1024


Krüpteerida on võimalik veel des,des3,aes128,aes192,aes256.  
Krüpteerida on võimalik veel des,des3,aes128,aes192,aes256.  
RSA võtme pikkus võiks olla vähemalt 1024 bitti.
RSA võtme pikkus võiks olla vähemalt 1024 bitti.


  $ openssl req -new -x509 -days 3650 -key root_ca.key -out root_ca.crt  
  openssl req -new -x509 -days 3650 -key root_ca.key -out root_ca.crt  


Järgnevate küsimuste vaikeväärtused ([AU], Internet Widgits Pty Ltd, jne) leiad /etc/ssl/openssl.cnf. Kui on plaanis anda palju sertifikaate siis tasub neid väärtusi muuta.  
Sertifikaadi vaatamine
openssl x509 -noout -text -in root_ca.crt
 
Järgnevate küsimuste vaikeväärtused ([AU], Internet Widgits Pty Ltd, jne) asuvad /etc/ssl/openssl.cnf. Kui on plaanis luua palju sertifikaate siis tasub neid väärtused ära muuta.  


  Country Name (2 letter code) [AU]:EE
  Country Name (2 letter code) [AU]:EE
Line 40: Line 50:


===Serveri sertifikaadi loomine===
===Serveri sertifikaadi loomine===
Serveri privaatvõtme loomine
openssl genrsa -aes256 -out server.key 1024


===Sertifikaatide vaatamine===
Serveri privaatvõtme vaatamine
  openssl rsa -noout -text -in server.key
  openssl rsa -noout -text -in server.key


Serveri privaatvõtme põhjal loome sertifikaadi taotluse. '''Taotlus on allkirjastamata sertifikaat.'''
openssl req -new -key server.key -out server.csr
Serveri sertifikaadi taotluse vaatamine.
  openssl req -noout -text -in server.csr
  openssl req -noout -text -in server.csr


  openssl rsa -noout -text -in root_ca.key
Allkirjastamata sertifikaadi osa:
  Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=EE, ST=Harjumaa, L=Tallinn, O=IT Kolledz, CN=wiki.itcollege.ee


  openssl x509 -noout -text -in root_ca.crt
Kus '''Comman Name''' väljas tuleks kasutada lehe veebiaadressi.
Country Name (2 letter code) [AU]:EE
State or Province Name (full name) [Some-State]:Harjumaa
Locality Name (eg, city) []:Tallinn
Organization Name (eg, company) [Internet Widgits Pty Ltd]:IT Kolledz
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:wiki.itcollege.ee
Email Address []:
 
Allkirjastame sertifikaadi taotluse CA privaatvõtmega. Loome serverile sertifikaadi kehtivusega aasta.
  openssl x509 -req -days 365 -in server.csr -CA root_ca.crt -CAkey root_ca.key -set_serial 01 -out server.crt
 
Allkirjastame sertifikaadi taotluse iseendaga ('''self-signed'''). Seda tehes ei ole vaja sertifikaadikeskust. '''Sellist lahendust võib kasutada ainult testimiseks või hädakorras sisevõrgus.'''
openssl req -x509 -days 356 -key server.key -in server.csr -out server_ss.crt  


CA poolt allkirjastatud sertifikaadi osa, iseallkirjastatud sertifikaadi korral oleks Issuer sama mis Subject:
openssl x509 -in server.crt -text -noout
  Certificate:
  Certificate:
     Data:
     Data:
         Version: 3 (0x2)
         Version: 1 (0x0)
         Serial Number:
         Serial Number: 1 (0x1)
            e0:0c:f0:5f:ef:4b:09:67
         Signature Algorithm: sha1WithRSAEncryption
         Signature Algorithm: sha1WithRSAEncryption
         Issuer: C=EE, ST=Harjumaa, L=Tallinn, O=IT Kolledz Certificate Authority, CN=IT Kolledz Certificate Authority
         Issuer: C=EE, ST=Harjumaa, L=Tallinn, O=IT Kolledz Certificate Authority, CN=IT Kolledz Certificate Authority
         Validity
         Validity
             Not Before: Apr 17 15:30:29 2011 GMT
             Not Before: May 28 19:50:28 2011 GMT
             Not After : Apr 16 15:30:29 2012 GMT
             Not After : May 27 19:50:28 2012 GMT
         Subject: C=EE, ST=Harjumaa, L=Tallinn, O=IT Kolledz Certificate Authority, CN=IT Kolledz Certificate Authority
         Subject: C=EE, ST=Harjumaa, L=Tallinn, O=IT Kolledz, CN=wiki.itcollege.ee
        Subject Public Key Info:
 
            Public Key Algorithm: rsaEncryption
===Serveri võtmest parooli eemaldamine===
            RSA Public Key: (1024 bit)
Kui parooli jätame võtmesse siis apache taaskäivitamine nõuab parooli.
                Modulus (1024 bit):
openssl rsa -in server.key -out server.key.insecure
                    00:cc:c9:cc:53:2a:3d:d2:a6:e2:8a:a0:e9:89:50:
mv server.key server.key.secure
                    01:d0:33:64:6e:a5:9c:b7:b9:ba:5e:d5:a0:57:ad:
mv server.key.insecure server.key
                    a5:82:3b:d4:1d:ef:6e:77:5f:a9:0c:9b:b2:a8:1c:
 
                    be:74:74:dc:01:26:05:0c:6d:85:9f:0e:22:29:79:
===Sertifikaatide konverteermine teise formaati===
                    f1:3c:72:50:57:ef:b6:90:d7:91:1c:50:38:16:b3:
 
                    c1:9d:ce:00:4b:f6:1d:71:39:6f:79:02:d6:46:9d:
.crt faili konventeermine pem formaati
                    23:06:79:95:74:b8:16:72:6e:57:e2:1e:b2:4d:fe:
 
                    41:e9:c7:a4:45:29:e4:d4:77:80:4b:0b:1d:8d:ef:
openssl x509 -in server.crt -out server.der -outform DER
                    86:ea:35:e4:bc:45:d3:3d:0b
openssl x509 -in server.der -inform DER -out server.pem -outform PEM
                Exponent: 65537 (0x10001)
 
        X509v3 extensions:
.pem faili konventeermine der formaati
            X509v3 Subject Key Identifier:
 
                7E:FA:85:82:7C:36:A3:60:EB:47:C3:14:4C:01:04:79:E6:5C:B9:5D
openssl x509 -in server.pem -out server.der -outform der
            X509v3 Authority Key Identifier:
 
                keyid:7E:FA:85:82:7C:36:A3:60:EB:47:C3:14:4C:01:04:79:E6:5C:B9:5D
.pfx ja .p12 faili loomine
                DirName:/C=EE/ST=Harjumaa/L=Tallinn/O=IT Kolledz Certificate Authority/CN=IT Kolledz Certificate Authority
 
                serial:E0:0C:F0:5F:EF:4B:09:67
openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt -certfile root_ca.crt
 
.pfx ja .p12 faili konventeermine pem formaati


            X509v3 Basic Constraints:
openssl pkcs12 -in server.pfx -out server.pem -nodes
                CA:TRUE
    Signature Algorithm: sha1WithRSAEncryption
        4d:6d:66:d4:ab:82:78:d9:ac:b5:de:5f:b7:55:69:bf:22:96:
        b6:7d:af:13:46:f3:f2:32:ae:80:a6:0f:53:7a:33:d6:9f:89:
        e7:98:42:d3:6c:53:98:47:12:b0:01:6e:d1:c3:03:f0:ac:ed:
        d2:d8:a5:5c:c8:9f:b9:73:ba:26:cc:69:f9:c3:e4:42:7d:d0:
        dc:c5:1c:63:e0:35:b0:46:c2:02:0a:9e:b6:b4:49:74:09:2e:
        39:a3:65:f1:e5:55:90:02:c1:12:5e:0c:3a:6f:9e:33:49:6a:
        19:46:24:2d:dd:3f:da:a4:27:ce:a8:89:9a:89:c2:ac:ec:b3:
        d4:1b


===Sertifikaadid===
===Loodud sertifikaadid===
server.crt: The self-signed server certificate.
server.crt: Iseallkirjastatud serveri sertifikaat


server.csr: Server certificate signing request.
server.csr: Serveri sertifikaadi allkirja taotlus


server.key: The private server key, does not require a password when starting Apache.
server.key: Serveri privaatvõti. (Ei nõua parooli apache käivitamisel)


server.key.secure: The private server key, it does require a password when starting Apache.  
server.key.secure: Serveri privaatvõti. (Nõuab parooli apache käivitamisel)


root_ca.crt: The Certificate Authority's own certificate.
root_ca.crt: CA sertifikaat


root_ca.key: The key which the CA uses to sign server signing requests.
root_ca.key: Võti millega CA allkirjastab sertifikaadi allkirja taotlusi


==Autor==
==Autor==
Lauri Liibert AK21 Aprill 2011
Lauri Liibert AK21 Aprill 2011
==Kasutatud materjal==
==Kasutatud materjal==
*[http://www.tc.umn.edu/~brams006/selfsign.html]
*[http://www.tc.umn.edu/~brams006/selfsign.html http://www.tc.umn.edu/~brams006/selfsign.html]
*[http://tldp.org/HOWTO/SSL-Certificates-HOWTO/x64.html http://tldp.org/HOWTO/SSL-Certificates-HOWTO/x64.html]
*[http://kuutorvaja.eenet.ee/wiki/Sertifikaadid http://kuutorvaja.eenet.ee/wiki/Sertifikaadid]
*[http://kuutorvaja.eenet.ee/wiki/OpenSSL http://kuutorvaja.eenet.ee/wiki/OpenSSL]
*[http://www.digicert.com/ev-ssl-certification.htm http://www.digicert.com/ev-ssl-certification.htm]
*[http://shib.kuleuven.be/docs/ssl_commands.shtml http://shib.kuleuven.be/docs/ssl_commands.shtml]

Latest revision as of 09:06, 29 May 2011

Sissejuhatus

Loome enda sertifitseerimiskeskuse (CA - Certificate Authority) ja allkirjastame sellega sertifikaate. Selleks kasutame OpenSSL'i. OpenSSL http://www.openssl.org/ on vaba tarkvaraline SSL ja TLS protokollide implementatsioon ja pakub veel tugevat üldotstarbelist krüptograafiat.

Juhendi kasutamiseks on vajalik openssl ver 0.9.8 või uuem ja opertasioonisüsteemina on kasutatud Ubuntu Server 10.10 keskkonda. Openssl versiooni vaatamine: 

openssl version
OpenSSL 0.9.8o 01 Jun 2010

Mis on sertifikaat

Andmekogum mis kinnitab kellegile kolmandale, et esitatud andmed on tõesed ja ajakohased.

Laiendatud kinnitusega sertifikaat (EV)

X.509 avaliku võtme sertifikaat mida kasutatakse veebilehitsejate juures. Täpsemalt: Extended Validation Certificate

EV sertifikaadid on töötavad järgmiste veebilehitsejatega

EV sertifikaadid
EV veebilehitsejas
  • Google Chrome
  • IE 5.01+
  • AOL 5+
  • Netscape 4.7+
  • Opera 7+
  • Safari
  • Mozilla 1+
  • Firefox 1+
  • Konqeror

Sertifikaatide loomine

Sertifitseerimiskeskuse loomine (CA)

Loome enda sertifitseerimiskeskuse, millega hakkame sertifitseerima. 

openssl genrsa -aes256 -out root_ca.key 1024

Krüpteerida on võimalik veel des,des3,aes128,aes192,aes256. RSA võtme pikkus võiks olla vähemalt 1024 bitti. 

openssl req -new -x509 -days 3650 -key root_ca.key -out root_ca.crt

Sertifikaadi vaatamine 

openssl x509 -noout -text -in root_ca.crt

Järgnevate küsimuste vaikeväärtused ([AU], Internet Widgits Pty Ltd, jne) asuvad /etc/ssl/openssl.cnf. Kui on plaanis luua palju sertifikaate siis tasub neid väärtused ära muuta. 

Country Name (2 letter code) [AU]:EE
State or Province Name (full name) [Some-State]:Harjumaa
Locality Name (eg, city) []:Tallinn
Organization Name (eg, company) [Internet Widgits Pty Ltd]:IT Kolledz Certificate Authority
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:IT Kolledz Certificate Authority
Email Address []:

Serveri sertifikaadi loomine

Serveri privaatvõtme loomine 

openssl genrsa -aes256 -out server.key 1024

Serveri privaatvõtme vaatamine 

openssl rsa -noout -text -in server.key

Serveri privaatvõtme põhjal loome sertifikaadi taotluse. Taotlus on allkirjastamata sertifikaat. 

openssl req -new -key server.key -out server.csr

Serveri sertifikaadi taotluse vaatamine. 

openssl req -noout -text -in server.csr

Allkirjastamata sertifikaadi osa: 

Certificate Request:
   Data:
       Version: 0 (0x0)
       Subject: C=EE, ST=Harjumaa, L=Tallinn, O=IT Kolledz, CN=wiki.itcollege.ee

Kus Comman Name väljas tuleks kasutada lehe veebiaadressi. 

Country Name (2 letter code) [AU]:EE
State or Province Name (full name) [Some-State]:Harjumaa
Locality Name (eg, city) []:Tallinn
Organization Name (eg, company) [Internet Widgits Pty Ltd]:IT Kolledz
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:wiki.itcollege.ee
Email Address []:

Allkirjastame sertifikaadi taotluse CA privaatvõtmega. Loome serverile sertifikaadi kehtivusega aasta. 

openssl x509 -req -days 365 -in server.csr -CA root_ca.crt -CAkey root_ca.key -set_serial 01 -out server.crt

Allkirjastame sertifikaadi taotluse iseendaga (self-signed). Seda tehes ei ole vaja sertifikaadikeskust. Sellist lahendust võib kasutada ainult testimiseks või hädakorras sisevõrgus. 

openssl req -x509 -days 356 -key server.key -in server.csr -out server_ss.crt

CA poolt allkirjastatud sertifikaadi osa, iseallkirjastatud sertifikaadi korral oleks Issuer sama mis Subject: 

openssl x509 -in server.crt -text -noout
Certificate:
   Data:
       Version: 1 (0x0)
       Serial Number: 1 (0x1)
       Signature Algorithm: sha1WithRSAEncryption
       Issuer: C=EE, ST=Harjumaa, L=Tallinn, O=IT Kolledz Certificate Authority, CN=IT Kolledz Certificate Authority
       Validity
           Not Before: May 28 19:50:28 2011 GMT
           Not After : May 27 19:50:28 2012 GMT
       Subject: C=EE, ST=Harjumaa, L=Tallinn, O=IT Kolledz, CN=wiki.itcollege.ee

Serveri võtmest parooli eemaldamine

Kui parooli jätame võtmesse siis apache taaskäivitamine nõuab parooli. 

openssl rsa -in server.key -out server.key.insecure
mv server.key server.key.secure
mv server.key.insecure server.key

Sertifikaatide konverteermine teise formaati

.crt faili konventeermine pem formaati 

openssl x509 -in server.crt -out server.der -outform DER
openssl x509 -in server.der -inform DER -out server.pem -outform PEM

.pem faili konventeermine der formaati 

openssl x509 -in server.pem -out server.der -outform der

.pfx ja .p12 faili loomine 

openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt -certfile root_ca.crt

.pfx ja .p12 faili konventeermine pem formaati 

openssl pkcs12 -in server.pfx -out server.pem -nodes

Loodud sertifikaadid

server.crt: Iseallkirjastatud serveri sertifikaat

server.csr: Serveri sertifikaadi allkirja taotlus

server.key: Serveri privaatvõti. (Ei nõua parooli apache käivitamisel)

server.key.secure: Serveri privaatvõti. (Nõuab parooli apache käivitamisel)

root_ca.crt: CA sertifikaat

root_ca.key: Võti millega CA allkirjastab sertifikaadi allkirja taotlusi

Autor

Lauri Liibert AK21 Aprill 2011

Kasutatud materjal

Retrieved from "https://wiki.itcollege.ee/index.php?title=Sertifikaatide_haldamine_openssl_abil&oldid=33215"