Ноя
11

создание ssl ключей




  • Безымянный 109473

  • Openvpn


  • Создание Certificate Authority (CA)

    После установки OpenSSL, файл конфигурации (openssl.cnf), потребуется
    отредактировать, чтобы при необходимости изменить каталоги в которых
    будут располагаться ключи, сертификаты и прочее во время настройки, а
    также имена и наименование организации.

    Как правило, конфиг располагается в каталоге /usr/local/openssl/, либо в /etc/ssl/.

    После редактирования openssl.cnf делаем следующее:

    Создаем файл /usr/local/openssl/serial c содержимым '01'

    # touch serial
    # echo 01 > serial

    Создаем каталоги /crl, /newcerts, /private

    # mkdir crl newcerts private

    Для каталога private, в целях безопастности частного ключа сервера,
    рекомендую установить права только для пользователя root

    # chmod go-rwx private

    Создаем пустой файл /usr/local/openssl/index:

    # touch index

    И наконец создаем сертификат CA

    # openssl req -nodes -config openssl.cnf -days 1825 \
    -x509 -newkey rsa -out ca-cert.pem -outform PEM

    Создание сертификата X.509

    Теперь, когда мы имеем CA, мы можем создавать сертификаты и ключи для
    машин, образующих туннель. Вместо host_x и client_x рекомендую
    указывать осмысленное имя вашей машины-сервера и клиентов, что бы потом
    не запутаться самому.

    Сгенерируем частный ключ для сервера, его настоятельно рекомендуется
    хранить в тайне:

    # openssl genrsa -out host_x.key

    Генерируем сертификат:

    # openssl req -new -nodes -key host_x.key -out host_x.csr
    # openssl ca -batch -config openssl.cnf -in host_x.csr -out host_x.cert

    Теперь повторим то же самое, но только для клиента:

    # openssl genrsa -out client_x.key
    # openssl req -new -nodes -key client_x.key -out client_x.csr
    # openssl ca -batch -config openssl.cnf -in client_x.csr -out client_x.cert

    И в конце создаем ключик ta.key. Этот ключ используется для
    предотвращения DoS атак и UDP port flooding

    # openvpn --genkey --secret ta.key

    Таким образом мы получили подписанный нами же сертификат X.509.
    Необходимо повторить эти действия для всех имеющихся у нас машин.

    Далее создать ключ Диффи Хельман (подробнее о нем
    http://www.rsasecurity.com/rsalabs/node.asp?id=2248).Этот ключ
    используется для шифрования трафика при установлении соединения:

    # openssl dhparam -out dh1024.pem 1024



















  • Безымянный 109473

  • Openvpn



  • Социальные сети

    Рубрики

    Последние записи