9.1 KiB
Создание самоподписанного сертификата для локального домена
В системе необходимо наличие пакета openssl
Debian - sudo apt install openssl
Простой путь
Генерируется самоподписный wildcard сертификат для одного домена. Чтобы браузеры доверяли этому сертификату, его необходимо добавить в доверенные.
Подготовительный этап
Создадим директорию в которой будут созданы ключ и сертификат
mkdir /home/$USER/cert && cd /home/$USER/cert
Создаём ключ SSL и файлы сертификата
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /home/$USER/cert/astra.lan.key -out /home/$USER/cert/astra.lan.crt
req -x509 - указывает, что мы хотим использовать управление запросами на подписание сертификатов X.509 (CSR). X.509 — это инфраструктура открытых ключей, используемая стандартами SSL и TLS для управления ключами и сертификатами;
-nodes - предписывает OpenSSL пропустить опцию защиты нашего сертификата кодовой фразой;
-days 365 - эта опция устанавливает период действия сертификата. Здесь мы устанавливаем срок действия в один год. Многие современные браузеры отклоняют любые сертификаты, срок действия которых превышает один год;
-newkey rsa:2048 - указывает, что мы хотим сгенерировать новый сертификат и новый ключ одновременно. Мы не создали требуемый ключ для подписи сертификата на предыдущем шаге, и поэтому нам нужно создать его вместе с сертификатом. Часть rsa:2048 предписывает создать ключ RSA длиной 2048 бит;
-keyout - эта строка указывает OpenSSL, где разместить генерируемый файл закрытого ключа;
-out - указывает OpenSSL, где разместить создаваемый сертификат.
Далее необходимо ответить на вопросы. Наиболее важная строка Common Name. Нужно ввести имя узла, которое будет использоваться для доступа к серверу. Чтобы иметь возможность использования сертификата в поддоменах, необходимо в имени указать маску поддоменов - *.. Например Common name для wildcard сертификата для домена astra.lan будет выглядеть так - *.astra.lan.
Путь сложнее - для нескольких сертификатов
Если стоит задача сгенерировать несколько сертификатов для разных доменов, мы это можем сделать используя описанный выше простой путь, но, чтобы браузер не ругался на наши самоподписные сертификаты, каждый из них нужно добавить в исключения. Если таких сертификатов много, делать это долго и скучно.
Для решения такой задачи можно пойти другим путём:
- создать конревой сертификат;
- на основе корневого сертификата создать промежуточные запросы на подписание сертификатов для каждого домена;
- сегенерировать сертификаты для каждого домена, подписанные нашим корневым сертификатом;
- добавить в исключения в браузер наш корневой сертификат.
Подготовительный этап
mkdir /home/$USER/cert && cd /home/$USER/cert
Сформируем закрытый ключ
openssl genrsa -out rootCA.key 2048
genrsa - создать закрытый ключ RSA
-out - выходной файл
Получим файл: rootCA.key
Создаем корневой сертификат с использованием сгенерированого ключа
openssl req -new -x509 -days 365 -key rootCA.key -subj "/C=RU/ST=Moscow/O=Syssoft/CN=Syssoft Root Authority" -out rootCA.crt
-x509 – экземпляр сертификата;
-new – новый запрос сертификата;
-key rootCA.key – файл ключа;
-subj – передаваемые параметры, чтобы не запрашивать их интерактивно;
-days 365 – период действия сертификата (в днях);
-out rootCA.crt – имя сгенерированного сертификата.
Проверить содержание сгенерированного сертификата
openssl x509 -text -noout -in rootCA.crt
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
6b:f5:ec:27:d9:85:4a:72:22:2d:72:c4:9d:1a:e1:3d:d1:1d:4b:10
Signature Algorithm: sha256WithRSAEncryption
Issuer: C = RU, ST = Moscow, O = Syssoft, CN = Private Astra Root Authority
Validity
Not Before: Oct 16 10:29:33 2023 GMT
Not After : Jul 3 10:29:33 2043 GMT
Subject: C = RU, ST = Moscow, O = Syssoft, CN = Private Astra Root Authority
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public-Key: (2048 bit)
Modulus:
Убедиться в том, что был создан именно центр сертификации
openssl x509 -text -noout -in rootCA.pem | grep CA
CA:TRUE
Для использования созданного сертификата в качестве локального центра сертификации необходимо импортировать его на все доступные устройства. Корневой сертификат можно добавить в хранилище ключей/сертификатов ОС либо загрузить напрямую в браузер.
Генерация сертификата для домена
Создание закрытого ключа для домена и запрос на сертификат (CSR)
openssl req -newkey rsa:2048 -nodes -keyout syssoft.su.key -subj "/C=RU/ST=Moscow/O=Syssoft DEMO Stand/CN=*.syssoft.su" -out syssoft.su.csr
Выпускаем сертификат
openssl x509 -req -extfile <(printf "subjectAltName=DNS:*.syssoft.su") -days 365 -in syssoft.su.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out syssoft.su.crt
В параметре -extfile указано альтернативное имя для домена, если его не прописать, браузеры откажутся принимать такой сертификат;
-in - вводимый файл запроса;
-CA - файл корневого сертификата;
-CAkey - ключ корневого сертификата;
-out - выходной crt-файл;
-days - количество дней действия;
Посмотреть информацию о созданном сертификате
openssl x509 -in syssoft.su.crt -text -noout
Заключительный этап
В итоге получится такой набор файлов:
sysadmin@doc:~/cert$ ls -l
итого 24
-rw-r--r-- 1 sysadmin sysadmin 1151 окт 16 14:27 syssoft.su.crt
-rw------- 1 sysadmin sysadmin 1675 окт 16 14:26 syssoft.su.key
-rw-r--r-- 1 sysadmin sysadmin 960 окт 16 14:27 syssoft.su-req.csr
-rw------- 1 sysadmin sysadmin 1679 окт 16 14:25 rootCA.key
-rw-r--r-- 1 sysadmin sysadmin 1294 окт 16 14:25 rootCA.crt
-rw-r--r-- 1 sysadmin sysadmin 41 окт 16 14:27 rootCA.srl
В конфигурации web-сервера (Apache, Nginx) необходимо указать пути
- к сертификату -
syssoft.su.crt - к приватному ключу -
syssoft.su.key
В браузеры на клиенты добавить в доверенные корневой сертификат нашего удостоверяющего центра rootCA.crt