Bagaimana cara membuat rantai sertifikat saya sendiri?

Saya ingin mengatur OCSP Responder saya sendiri (hanya untuk tujuan pengujian). Ini mengharuskan saya untuk memiliki sertifikat root dan beberapa sertifikat dihasilkan darinya.

Saya telah berhasil membuat sertifikat yang ditandatangani sendiri menggunakan openssl. Saya ingin menggunakannya sebagai sertifikat root. Langkah selanjutnya adalah membuat sertifikat yang diturunkan. Sepertinya saya tidak dapat menemukan dokumentasi tentang bagaimana melakukan ini. Adakah yang tahu di mana saya dapat menemukan informasi ini?

Sunting
Dalam retrospeksi, pertanyaan saya belum sepenuhnya dijawab. Untuk mengklarifikasi masalah saya akan mewakili rantai sertifikat saya seperti ini:

ROOT -> A -> B -> C -> ...

Saat ini saya dapat membuat sertifikat ROOT dan A, tetapi saya belum menemukan cara membuat rantai yang lebih panjang.

Perintah saya untuk membuat sertifikat root adalah:

openssl req -new -newkey rsa:1024 -nodes -out ca.csr -keyout ca.key
openssl x509 -trustout -signkey ca.key -days 365 -req -in ca.csr -out ca.pem

Sertifikat A dibuat seperti ini:

openssl genrsa -out client.key 1024
openssl req -new -key client.key -out client.csr
openssl ca -in client.csr -out client.cer

Perintah ini secara implisit tergantung pada sertifikat root, yang untuk itu ia menemukan info yang diperlukan dalam file konfigurasi openssl.

Namun Sertifikat B hanya harus bergantung pada A, yang tidak terdaftar dalam file konfigurasi, sehingga perintah sebelumnya tidak akan berfungsi di sini.

Baris perintah apa yang harus saya gunakan untuk membuat sertifikat B dan seterusnya?

Sunting
Saya menemukan jawabannya di artikel ini . Sertifikat B (rantai A -> B) dapat dibuat dengan dua perintah ini:

# Create a certificate request
openssl req -new -keyout B.key -out B.request -days 365

# Create and sign the certificate
openssl ca -policy policy_anything -keyfile A.key -cert A.pem -out B.pem -infiles B.request

Saya juga mengubah file openssl.cnf:

[ usr_cert ]
basicConstraints=CA:TRUE # prev value was FALSE

Pendekatan ini tampaknya bekerja dengan baik.

Anda dapat menggunakan OpenSSL secara langsung.

1. Buat kunci pribadi Otoritas Sertifikat (ini adalah kunci terpenting Anda):

   openssl req -new -newkey rsa:1024 -nodes -out ca.csr -keyout ca.key
   

2. Buat sertifikat yang ditandatangani sendiri CA Anda:

   openssl x509 -trustout -signkey ca.key -days 365 -req -in ca.csr -out ca.pem
   

3. Keluarkan sertifikat klien dengan terlebih dahulu membuat kunci, lalu minta (atau gunakan yang disediakan oleh sistem eksternal) kemudian tandatangani sertifikat menggunakan kunci pribadi CA Anda:

   openssl genrsa -out client.key 1024
   openssl req -new -key client.key -out client.csr
   openssl ca -in client.csr -out client.cer
   

(Anda mungkin perlu menambahkan beberapa opsi karena saya menggunakan perintah ini bersama dengan file openssl.conf saya. Anda mungkin perlu mengatur file .conf Anda sendiri terlebih dahulu.)

Setelah Anda membuat CA Anda, Anda dapat menggunakannya untuk masuk sebagai berikut:

• Buat kunci:

  openssl genrsa -out key_A.key  1024
  

• Buat csr:

  openssl req -new -key key_A.key -out csr_A.csr
  You are about to be asked to enter information etc....
  

• Tanda tangani:

  openssl x509 -req -days 365 -in csr_A.csr -CA CA_certificate_you_created.crt \
  -CAkey CA_key_you_created.key -set_serial 01 -out crt_A.crt
  

  dan seterusnya mengganti * _A dengan * _B dan CA_certificate_you_created.crtdengan crt_A.crtdan CA_key_you_created.keydengankey_A.key

Perubahan Anda:

basicConstraints=CA:TRUE  # prev value was FALSE

berarti bahwa sertifikat yang Anda terbitkan dapat digunakan untuk menandatangani sertifikat lain.

OpenSSL dilengkapi dengan skrip Perl "CA.pl" untuk membantu Anda membuat root CA cert yang ditandatangani sendiri , bersama dengan kunci pribadi yang cocok, ditambah beberapa file dan direktori sederhana untuk membantu melacak setiap sertifikat masa depan yang Anda tanda tangani (masalah alias ) dengan root CA. Ini juga membantu Anda menghasilkan pasangan kunci lainnya dan permintaan penandatanganan sertifikat (CSR) dan membantu Anda memproses CSR tersebut (yaitu, menerbitkan sertifikat untuk mereka), dan banyak lagi.

Perhatikan bahwa banyak produk memerlukan sertifikat CA untuk memuat atribut tertentu yang menandainya sebagai sertifikat CA, atau mereka tidak akan diterima sebagai penandatangan / penerbit valid dari sertifikat lain. Jika sertifikat yang ditandatangani sendiri yang Anda buat tidak mengandung atribut itu, Anda mungkin akan kesulitan mendapatkan perangkat lunak lain untuk memperlakukannya seperti sertifikat CA root yang valid.

Jika saya ingat dengan benar, sintaksnya berjalan seperti ini:

CA.pl -newca    # Create a new root CA  

CA.pl -newreq   # Create a new CSR

CA.pl -sign     # Sign a CSR, creating a cert  

CA.pl -pkcs12   # Turn an issued cert, plus its matching private key and trust chain, into a .p12 file you can install on another machine    

Saya menemukan posting ini: https://stackoverflow.com/questions/19665863/how-do-i-use-a-self-signed-certificate-for-a-https-node-js-server

Ini untuk Node.JS tetapi skrip dalam repo GitHub ini menggunakan perintah openSLL untuk membuat root CA cert dan Domain cert.

Jalankan menggunakan: bash make-root-ca-and-certificates.sh 'example.com'

Atau untuk localhost menggunakan: bash make-root-ca-and-certificates.sh 'localhost'

make-root-ca-and-certificates.sh

#!/bin/bash
FQDN=$1

# make directories to work from
mkdir -p certs/{server,client,ca,tmp}

# Create your very own Root Certificate Authority
openssl genrsa \
  -out certs/ca/my-root-ca.key.pem \
  2048

# Self-sign your Root Certificate Authority
# Since this is private, the details can be as bogus as you like
openssl req \
  -x509 \
  -new \
  -nodes \
  -key certs/ca/my-root-ca.key.pem \
  -days 1024 \
  -out certs/ca/my-root-ca.crt.pem \
  -subj "/C=US/ST=Utah/L=Provo/O=ACME Signing Authority Inc/CN=example.com"

# Create a Device Certificate for each domain,
# such as example.com, *.example.com, awesome.example.com
# NOTE: You MUST match CN to the domain name or ip address you want to use
openssl genrsa \
  -out certs/server/privkey.pem \
  2048

# Create a request from your Device, which your Root CA will sign
openssl req -new \
  -key certs/server/privkey.pem \
  -out certs/tmp/csr.pem \
  -subj "/C=US/ST=Utah/L=Provo/O=ACME Tech Inc/CN=${FQDN}"

# Sign the request from Device with your Root CA
# -CAserial certs/ca/my-root-ca.srl
openssl x509 \
  -req -in certs/tmp/csr.pem \
  -CA certs/ca/my-root-ca.crt.pem \
  -CAkey certs/ca/my-root-ca.key.pem \
  -CAcreateserial \
  -out certs/server/cert.pem \
  -days 500

# Create a public key, for funzies
# see https://gist.github.com/coolaj86/f6f36efce2821dfb046d
openssl rsa \
  -in certs/server/privkey.pem \
  -pubout -out certs/client/pubkey.pem

# Put things in their proper place
rsync -a certs/ca/my-root-ca.crt.pem certs/server/chain.pem
rsync -a certs/ca/my-root-ca.crt.pem certs/client/chain.pem
cat certs/server/cert.pem certs/server/chain.pem > certs/server/fullchain.pem