Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

Создаем корневой сертификат УЦ


Сгенерируем приватный ключ и запрос на сертификат:

openssl req -newkey gost2001 -pkeyopt paramset:A -out root_ca.csr -keyout ca_key.pem

 

  • параметр gost2001 указывает на использование алгоритма ГОСТ Р 34.10-2001
  • параметр -pkeyoptparamset:A устанавливает параметры OID для алгоритма шифрования.

Возможные варианты:

PARAMSET
OID
Aid-GostR3410-2001-CryptoPro-A-ParamSet
Bid-GostR3410-2001-CryptoPro-B-ParamSet
Cid-GostR3410-2001-CryptoPro-C-ParamSet
XAid-GostR3410-2001-CryptoPro-XchA-ParamSet
XBid-GostR3410-2001-CryptoPro-XchB-ParamSet

 

Теперь необходимо ввести кодовую фразу и приватный ключ и после данные сертификата:

Generating a 2048 bit GOST2001 private key

writing new private key to 'ca_key.pem'

Enter PEM pass phrase:

Verifying - Enter PEM pass phrase:

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [AU]:RU

State or Province Name (full name) [Some-State]:Moscow

Locality Name (eg, city) []:Moscow

Organization Name (eg, company) [Internet Widgits Pty Ltd]:TestOrg

Organizational Unit Name (eg, section) []:IT

Common Name (e.g. server FQDN or YOUR name) []:testCA

Email Address []:testca@test.ru

 

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

 

Теперь файл с запросом на сертификат создан root_ca.csr

Создаем самоподписанный сертификат:
openssl x509 -req -in root_ca.csr -out root_ca.cer -signkey ca_key.pem -days 365

 

Вводим кодовую фразу ca_key.pem:

Signature ok

subject=/C=RU/ST=Moscow/L=Moscow/O=TestOrg/OU=IT/CN=testCA/emailAddress=testca@test.ru

Getting Private key

Enter pass phrase for ca_key.pem:

 

Корневой сертификат создан root_ca.cer
Устанавливаем его в "Доверенные центры сертификации" на клиентском ПК.

Создаем клиентский сертификат


Создадим запрос на сертификат, введем парольную фразу и данные сертификата:
openssl req -newkey gost2001 -pkeyopt paramset:A -out client.csr

 

Generating a 2048 bit GOST2001 private key

writing new private key to 'privkey.pem'

Enter PEM pass phrase:

Verifying - Enter PEM pass phrase:

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [AU]:RU

State or Province Name (full name) [Some-State]:Moscow

Locality Name (eg, city) []:Moscow

Organization Name (eg, company) [Internet Widgits Pty Ltd]:TestOrg

Organizational Unit Name (eg, section) []:IT

Common Name (e.g. server FQDN or YOUR name) []:Ivan Ivanov

Email Address []:ivanov@test.ru

 

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

 

Подписываем запрос на сертификат приватным ключом ca_key.pem:
openssl x509 -req -in client.csr -CA root_ca.cer -CAkey ca_key.pem -CAcreateserial -out client.cer -days 365
Signature ok
subject=/C=RU/ST=Moscow/L=Moscow/O=TestOrg/OU=IT/CN=Ivan Ivanov/emailAddress=ivanov@test.ru
Getting CA Private Key
Enter pass phrase for ca_key.pem:

Клиентский сертификат создан client.cer


root_ca.cer — корневой сертификат, который должен быть установлен на клиентских ПК
ca_key.key — приватный ключ, следует держать в тайне

  • Нет меток