Открытый ключ для нового С А содержится в файле cacert.pem, а закрытый ключ — в private/cakey.pem. Теперь частный ключ можно использовать для подписи других SSL-сертификатов. По умолчанию CA.pl создает ключи со сроком годности 1 год. Для изменения этого поведения отредактируйте CA.pl и измените строку $DAYS=»-days 365″: Кроме того, можно вовсе отказаться от использования CA.pl и сгенерировать частный и публичный ключи вручную с помощью команды $ openssl req -new -x509 -keyout cakey.pem -out \ cakey.pem -days 3650 Эта команда создаст пару ключей со сроком годности 10 лет, который также можно изменить с помощью ключа -days. Кроме того, вы могли бы изменить разрешение частного ключа на 600, для того чтобы его никто не смог прочитать.

На заметку: Если Вас интересует лечение цистита у женщин, тогда рекомендуем заглянуть на сайт http://cistitanet.ru.

Вас попросят ввести сведения, которые будут включены в запрос на сертификат. То, что вы введете, называется отличительным именем (Distinguished Name, DN). Существует лишь несколько полей, но некоторые из них можно оставить незаполненными. Для некоторых полей существуют значения по умолчанию. Если ввести «.», то поле останется пустым.

До сих пор мы занимались лишь созданием СА. Для действительного создания ключей, которые можно использовать в службах, необходимо создать запрос на подпись сертификата и ключ. Опять же, это можно сделать с помощью CA.pl.

Теперь таким же образом вы можете устанавливать ключи для каждого сервера, который должен предоставлять SSL-защищенную службу. Это проще сделать, если выделить отдельную рабочую станцию для обслуживания СА и всех файлов, связанных с ним. Не забудьте распространить свой СА-сертификат во все программы, к которым требуется доверие.

источник: Локхарт Э. Антихакинг в сети. Трюки.


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *