Sådan opretter du en længere certifikatkæde med OpenSSL: Trin-for-trin guide

Hvordan oprettes en længere certifikatkæde (Root > A > B > C > ...) ved hjælp af OpenSSL, når kun Root og A certifikaterne er oprettet, og hvordan ændres openssl.cnf filen for at tillade dette?

For at oprette en længere certifikatkæde med OpenSSL skal du generere og signere certifikater for hver enhed i kæden og ændre openssl.cnf filen for at tillade længere kæder.

Sådan oprettes en længere certifikatkæde (Root > A > B > C > ...) ved hjælp af OpenSSL

For at oprette en længere certifikatkæde, hvor kun Root og A certifikaterne er oprettet, skal du følge disse trin:

  1. Opret en privat nøgle og et certifikat for B:
    • Generer en privat nøgle for B: 
      openssl genpkey -algorithm RSA -out B.key
    • Opret en certifikat signeringsanmodning (CSR) for B: 
      openssl req -new -key B.key -out B.csr
    • Signér B's CSR med A's certifikat og nøgle for at oprette B's certifikat: 
      openssl x509 -req -in B.csr -CA A.crt -CAkey A.key -CAcreateserial -out B.crt -days 365 -sha256
  2. Opret en privat nøgle og et certifikat for C:
    • Generer en privat nøgle for C: 
      openssl genpkey -algorithm RSA -out C.key
    • Opret en certifikat signeringsanmodning (CSR) for C: 
      openssl req -new -key C.key -out C.csr
    • Signér C's CSR med B's certifikat og nøgle for at oprette C's certifikat: 
      openssl x509 -req -in C.csr -CA B.crt -CAkey B.key -CAcreateserial -out C.crt -days 365 -sha256

Ændring af openssl.cnf filen for at tillade en længere certifikatkæde

For at tillade en længere certifikatkæde, skal du ændre openssl.cnf filen. Følg disse trin:

  1. Åbn openssl.cnf filen i en teksteditor.
  2. Find sektionen [ CA_default ] og tilføj eller rediger følgende linjer: 
    
[ CA_default ]
default_days = 365
default_md = sha256
preserve = no
policy = policy_anything
  3. Find sektionen [ policy_anything ] og tilføj eller rediger følgende linjer: 
    
[ policy_anything ]
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
  4. Find sektionen [ req ] og tilføj eller rediger følgende linjer: 
    
[ req ]
default_bits = 2048
default_keyfile = privkey.pem
distinguished_name = req_distinguished_name
attributes = req_attributes
x509_extensions = v3_ca # The extentions to add to the self signed cert
  5. Find sektionen [ v3_ca ] og tilføj eller rediger følgende linjer: 
    
[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = CA:true

Disse ændringer i openssl.cnf filen sikrer, at certifikaterne kan oprettes og signeres korrekt for at danne en længere certifikatkæde.

Flere tips vedr. oprettelse af certifikatkæder med OpenSSL

image

image

image

Få hjælp til certifikatkæder og OpenSSL med Handyhand

Har du brug for hjælp til certifikatkæder og OpenSSL? Med Handyhand kan du nemt oprette din opgave gratis og få bud fra kvalificerede hjælpere på få minutter. Få den ekspertise, du har brug for, og kom hurtigt videre med dit projekt.