Openssl Cert Signing

Naviga le tue risposte
1

Questo argomento è stato discusso più volte qui e in tutto il web & Ho seguito la maggior parte di esso ma sembra che i miei fondamentali non siano abbastanza forti da ottenere ...

Ecco un rapido scatto di requisiti e i passaggi che ho seguito

  1. Crea una coppia di chiavi [pvt / pub], chiamiamo questo caso d'uso come MYKEY

  2. Genera il certificato x509 da MYKEY

  3. Prima di condividere questo certificato x509, stabilire una catena di custodia ma non è disponibile una CA radice. Uscire nel mercato non è un'opzione.

  4. Ora questa firma deve essere firmata usando un'altra chiave privata, diciamo, MYMASTERKEY e poiché la parte pub di MYMASTERKEY sarà condivisa con il destinatario, stabilirà una catena di custodia.

  5. Condividi il certificato firmato con il destinatario.

Che cosa ho fatto:

  1. Chiave RSA2048 generata. Potrebbe facilmente estrarre la chiave pub così come creato un csr [chiamato MYKEY.csr] dalla chiave pvt [MYKEY].

  2. Potrebbe generare il cert x509 direttamente dalla chiave pvt ma non penso che sia il requisito qui.

  3. Creata un'altra chiave pvt chiamata MYMASTERKEY. Potrebbe estrarre la sua chiave di pubblicazione e il suo certificato autofirmato. Ho intenzione di trattare MYMASTERKEY come la mia CA radice qui.

  4. Csr generato per MYKEY [ openssl req -new -key MYKEY.pem -out MYKEYCSRREQ.pem ]. Utilizzato questa sintassi per "supposto" firmare questo csr usando MYMASTERKEY [ openssl x509 -req -days 730 -in MYKEYCSRREQ.pem -signkey MYMASTERKEY.pem -out MYKEYX509.crt ]

Dove sono bloccato?

Non sono sicuro che MYKEYX509.crt sia ciò che dovrei condividere con il mio destinatario. Non sono sicuro della sintassi che sto usando anche se sembra corretta. Inoltre, mi sono perso per verificare se riesco a verificare MYKEYX509.crt utilizzando la chiave di pubblicazione di MYMASTERKEY. Quale sarebbe la sintassi qui come root CA è la mia?

Inoltre, quando apro MYKEYX509.crt utilizzando openssl x509 -in MYKEYX509.crt -noout -text , i dettagli dell'emittente non provengono dalla CA radice [nel mio caso, MYMASTERKEY]. Questo mi confonde. Da un lato, sembra che stia facendo la cosa giusta, ma non sono in grado di verificare e di non sentirmi sicuro.

    
posta abhi 06.05.2015 - 01:13
fonte

1 risposta

1

Hai creato un certificato CA Singing per la CA? Questo è il passaggio in cui si specificano i dettagli della CA radice, che verranno visualizzati in tutti i certificati creati da questa CA. Questa risposta è fondamentalmente un digest di queste istruzioni in qualche modo conciso per impostare il vostro CA che ho trovato su google.

Quindi sembra che prima che la CA possa produrre qualsiasi certificato firmato, è necessario creare sia una chiave di firma CA (il MYMASTERKEY) sia un certificato autofirmato CA basato su MYMASTERKEY (penso che questo è quello che ti manca):

Il seguente comando ti farà tutte le domande sulla tua CA - le informazioni che appariranno nei certificati che firma - e poi genererà il certificato di firma CA autofirmato CAcert.crt : 

openssl req -new -key MYMASTERKEY.pem -x509 -days 1095 -out CAcert.crt

Una volta che hai "configurato" la tua CA creando un certificato di firma della CA, puoi prendere il file di richiesta di canto certificato del cliente (* .csr) e creare un certificato da essa: 

openssl x509 -req -days 365 -in MYKEYREQ.csr -CA CAcert.crt -CAkey MYMASTERKEY.pem -CAcreateserial -out clientCert.crt

Il risultante clientCert.crt è ciò che restituisci al client affinché possano installarlo nel loro server web, utilizzare per firmare la posta elettronica, wtv.

Solo per completezza per i futuri lettori, ecco i passaggi che un cliente dovrebbe prendere per inviare una richiesta di certificato alla CA:

1- Genera una chiave 

openssl genrsa -des3 -out <new.key> 2048

2- Genera una richiesta di firma del certificato 

openssl req -new -key <new.key> -out <new.csr>

Il file <new.csr> è ciò che viene inviato alla CA per essere trasformato in un certificato. Nota che il comando sopra ti farà tutte le domande sull'organizzazione o sul dominio per il quale stai richiedendo il certificato. Se hai intenzione di inviarlo a una CA pubblica, allora dovrai riflettere attentamente su cosa mettere lì.

    
risposta data 06.05.2015 - 02:58
fonte

Leggi altre domande sui tag

Ci sono problemi associati all'uso della stessa chiave di crittografia per più sistemi? Le reti oscure in internet come Tor e i2p sono simili alle darknet implementate per la sicurezza come il telescopio di rete CAIDA?