Сетевые средства Debian/X.509: различия между версиями

Содержимое удалено Содержимое добавлено
→‎Создание ключей: Новый раздел.
Строка 38:
 
Отметим, что созданный файл секретного ключа (<code>myx509.key</code>) содержит также и полный набор данных, составляющих открытый ключ.
 
== Создание запроса на подпись сертификата ==
 
Получаемый запрос на подпись сертификата содержит ряд полей (каноническое имя удостоверяемой стороны, страна и регион, название организации, и другие), которые удобно внести в файл-шаблон для последующего многократного использования. В случае ''клиентского'' сертификата, содержимое файла может быть подобным:
 
<pre
>## Distinguished name (DN) specification
organization = "CDyne Systems"
unit = "Network task force"
country = "US"
state = "California"
locality = "Fremont"
cn = "J. Random Hacker"
uid = "jrh"
 
## X.509 v3 extensions
email = "jrh@example.com"
tls_www_client
signing_key
</pre>
 
Создание серверного сертификата отличается, главным образом, использованием поля <code>cn</code> для указания основного полного доменного имени системы (и, возможно, полей <code>dns_name</code> для указания любого количества полных доменных имен, включая и основное), а также использованием флага <code>tls_www_server</code> вместо <code>tls_www_client</code>. Например:
 
<pre
>## Distinguished name (DN) specification
organization = "CDyne Systems"
unit = "Network task force"
country = "US"
state = "California"
locality = "Fremont"
cn = "niovoi.cdyne.example.com"
 
## X.509 v3 extensions
dns_name = "niovoi.cdyne.example.com"
dns_name = "www.niovoi.cdyne.example.com"
dns_name = "dyson.example.net"
email = "jrh@example.com"
tls_www_server
</pre>
 
Предполагая, что один из шаблонов выше внесен в файл <code>cert.cfg</code>, запрос на подпись можно создать следующей командой:
 
<pre
>$ certtool --generate-request --template cert.cfg \
--load-privkey myx509.key --outfile myx509.csr
</pre>
 
Содержимое файла-запроса <code>myx509.csr</code> может быть теперь передано удостоверяющему центру.
 
== См. также ==