Vechi - este necesar să se corecteze
Toate PKI începe cu CA, așa că, dacă nu aveți CA, atunci trebuie să-l creați:
Cum de a crea un CA:
Pentru testele de laborator simplu, propun pentru a crea un CA-auto-semnat, folosind OpenSSL.
req OpenSSL -config openssl.cnf -x509 -Noua -days 365 -out cacert.pem -keyout \ cakey.pem privat
Nu încercați să instalați (copie) în altă cheie, alta decât \ cakey.pem privat, în caz contrar poate fi o problemă de securitate. Datele pe care le specificați ca „Numele organizației“ și „codul de țară“, în viitor, va fi utilizat pentru toate certificatele, care vor fi create cu această CA.
Cum de a genera un certificat pentru un server web (pentru Apache, Netscape sau altele): Pentru a începe cu Genera Certificat Cerere de semnare (CSR).
Exemplu de utilizare Sun keytool'a: Cel mai bun instrument pentru a crea un nou chei (chei), de exemplu, „ServerKeyStore“.
keytool -genkey -keystore ServerKeyStore -alias WebServer
Aceasta creează o nouă cheie privată pentru serverul web. În procesul de creare a keytool vă va solicita informații descriptive. Asigurați-vă că pentru a da același nume al organizației (Numele organizației) și codul țării (cod de țară), așa cum este descris mai sus.
Acum a crea un CSR:
keytool -certReq -keystore ServerKeyStore -file webServerCSR.pem -alias WebServer
Ai webServerCSR.pem, care este o cerere pentru certificatul.
Creați un certificat semnat pentru a îndeplini acest CSR folosind CA-ul:
OpenSSL cca -config openssl.cnf -in webServerCSR.pem -out webServerCert.pem
Acum aveți un certificat semnat pentru server: webServerCert.pem. Du-te înapoi la server și instalați-l. Serverul web trebuie să fie, de asemenea, conștienți de CA, așa că, de asemenea, trebuie să instalați și cacert.pem (certificat de CA dvs.) în depozitul de server.
Exemplu de utilizare Sun keytool'a: keytool ia numai certificate X.509, deci trebuie să editați fișierul și eliminați webServerCert.pem dopolnitulnuyu informații.
keytool -Import -keystore ServerKeyStore -file cacert.pem -alias CA
Apoi, puteți importa certificatul:
keytool -Import -keystore ServerKeyStore -file webServerCert.pem -alias WebServer
Acum serverul web este protejat și gata pentru SSL.
Cum de a genera certificatul client:
Vom începe cu generarea de CSR și cheia privată folosind OpenSSL (parola provocare nu este administrat, sau zboară în eroare):
req openssl -config openssl.cnf -new -days 365 -out myUser1CSR.pem -keyout myUser1Key.pem
Acum trebuie să semneze un CSR CA și apoi veți obține un certificat: Rețineți că aveți deja o cheie privată din etapa anterioară.
OpenSSL cca -config openssl.cnf -in myUser1CSR.pem -out myUser1Cert.pem
Acum ai tot ce ai nevoie. Cu toate acestea, cele mai multe instrumente, browsere, etc. preferă să importe PKCS12-fișiere, spre deosebire de .pem .der și-fișiere.
Cum de a crea un PKCS12:
Primul pas este de a lega cacert, usercert și userkey împreună.
pisica cacert.pem myUser1Cert myUser1Key.pem> myUser1CertPKCS12.pem
(Cacert.pem nu sunt necesare)
Acum myUser1CertPKCS12.pem conține toate: CA, cheie și certificat. Pasul următor și final este de a converti myUser1CertPKCS12.pem în PKCS12 format.
OpenSSL PKCS12 -export -in myUser1CertPKCS12.pem -out myUser1Cert.p12 -name "Certificat client Utilizator1"
Browser-ul vă va da numele în lista de selectare a certificatului (am atunci când se utilizează openssl numele tuturor zburat).
Cum se utilizează folosind keytool Sun:
Genereaza primul depozit de chei, care va fi utilizat pentru autentificarea pe server:
keytool -genkey -keystore C: \ mystores \ IonaStage \ IPAS -keyalg RSA
Acest lucru va fi certificatul de server, care va fi afișat atunci când browser-ul cere la server. Certificatul poate fi instalat când serverul este pornit cu următoarea comandă:
java -Djavax.net.ssl.keyStore = C: \ mystores \ IonaStage \ IPAS -Djavax.net.ssl.keyStorePassword = keypassword
Certificatele ulterioare pot fi setările din fabrică cu comanda:
keytool -genkey -keystore C: \ mystores \ IonaStage \ IPAS -keyalg RSA -alias Certificate2
Pentru a permite serverului pentru autentificarea clienților, aveți nevoie, de asemenea, magazin de încredere (TrustStore), în cazul în care vă va pune toate certificatele sau CA. de încredere Creați TrustStore dvs., importând CA certificat, după cum urmează:
keytool -Import -trustcacerts -file cacert.pem -keystore C: \ mystores \ IonaStage \ TrustStore
Adăugați următoarea linie la linia de start a serverului dumneavoastră:
-Djavax.net.ssl.keyStore = C: \ mystores \ IonaStage \ TrustStore -Djavax.net.ssl.keyStorePassword = trustpassword
Următoarele certificate pot fi create sau adăugate cu următoarea comandă:
keytool -Import -trustedcacerts -file anotherca.pem -alias anotherca -keystore C: \ mystores \ IonaStage \ TrustStore
Genera Certificat Cerere de semnare (CSR) folosind folosind keytool Sun.
keytool -certreq -keystore C: \ mystores \ IonaStage \ IPAS -alias Server2 -file myServer2CertCSR.pem
Acum aveți cheia, și certificatul nesemnat în dosarul cu keytool'om (de exemplu, C: \ jdk1.3 \ bin). Trageți un dosar cu CSR OpenSSL și să semneze CA sale:
OpenSSL cca -config openssl.cnf -in myServer2CertCSR.pem -out myServer2Cert.pem
Vei primi un certificat semnat (semnat de CA dvs.) - myServer2Cert.pem
Importați certificatul semnat în depozitul de chei. Pentru a importa din nou un certificat semnat, trebuie să modificați fișierul myServer2Cert.pem, altfel vei avea probleme la importarea. Copiați numai corpul certificatului (inclusiv siruri de etichetat BEGIN și END) în fișierul myServer2CertModified.pem. Certificatul ar trebui să arate ceva de genul:
-----BEGIN CERTIFICAT -----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 / Nagqo + ePeyp30FvH9 / Nui + a / wLTTZN0JVHpoYKngp / hujCNQo
sG8mauq4z2mdGEO6HBL7JouSZ2Nb53Td8X / FIG8hOs15jKke21vrsbdhvRK / lKEv
YpE8NzIPenSTgpSr3Vu0MnUzOCgN + rMGV9LaKQIDAQABo4IBBjCCAQIwHQYDVR0O
BBYEFO9pXLUGAmj / 8PKoEb8utUEqkOY + MIHSBgNVHSMEgcowgceAFO9pXLUGAmj /
8PKoEb8utUEqkOY + oYGrpIGoMIGlMQswCQYDVQQGEwJJRTEWMBQGA1UECBMNQ291
bnR5IER1YmxpbjEPMA0GA1UEBxMGRHVibGluMR4wHAYDVQQKExVJT05BIFRlY2hu
b2xvZ2llcyBwbGMxEjAQBgNVBAsTCWlQQVMgVGVhbTEUMBIGA1UEAxMLQmVubm8g
Vm9nZWwxIzAhBgkqhkiG9w0BCQEWFGJlbm5vLnZvZ2VsQGlvbmEuY29tggEAMAwG
A1UdEwQFMAMBAf8wDQYJKoZIhvcNAQEEBQADgYEAGFydQNe05Lo7OJciWrUzci4J
G2Nh3XrgGk1jWCjbNAyDiUUB6oYkXC7Oa + TVa2Nuq1L4fXli8Rn / FOPN2 / d6zBrq
grwxgxzE5q1IkI9uwjZbjKDOrpylJQXQ2L2a3TsOQ45o9YsMzFKiSAVlQ44uP8zU
okRKv5X340M5urRIXLs =
-----END CERTIFICAT -----
Importați fișierul cu următoarea comandă:
keytool -Import -alias Server2 -file myServer2CertModified.pem -keystore C: \ mystores \ IonaStage \ IPAS
Vei primi un mesaj ca acest „răspuns certificat a fost instalat în depozitul de chei“.
PS șters chiar și această pagină după ce face din restul