LINUX.ORG.RU
ФорумAdmin

Создание SSL сертификатов. Помогите, плз...


0

0

Пытаюсь создать CA сертификат и им подписать другой сертификат,
чтобы использовать его для LDAP сервера.

# Здесь создаю CA
openssl genrsa -des3 -out very_security/ca.key 2048
openssl req -new -x509 -days 1825 -key very_security/ca.key -out certs/ca.cert

# Создаю сертификат для LDAP и пытаюсь его подписать ca.cert'ом
openssl genrsa -out private/slapd.key 1024
openssl req -new -key private/slapd.key -out tmp/slapd.csr
openssl x509 -req -days 1095 -in tmp/slapd.csr -out private/slapd.cert -CA certs/ca.cert -CAkey very_security/ca.key -CAcreateserial

# Делаю PEM
mv private/slapd.key  private/slapd.pem
cat private/slapd.cert >> private/slapd.pem

Ввожу пароль, всё создаётся. Пытаюсь проверить сертификат:
[root@ldap_pdc openssl]# openssl verify -CAfile certs/ca.cert private/slapd.pem
private/slapd.pem: /C=ru/ST=Russia/L=G/O=ymg/OU=ldap/CN=ldap.ymgeo.ru
error 18 at 0 depth lookup:self signed certificate
/C=ru/ST=Russia/L=G/O=ymg/OU=ldap/CN=ldap.ymgeo.ru
error 7 at 0 depth lookup:certificate signature failure

Как правильно создать сертификат и подписать его, чтобы у меня
не возникали эти ошибки??

Если я делаю так:
openssl req -new -x509 -days 365 -nodes -out private/slapd.pem -keyout private/slapd.pem

то получаю:
[root@ldap_pdc private]# openssl verify slapd.pem
slapd.pem: /C=RU/ST=Russia/L=Gelendzhik/O=ymgeo/OU=LDAP/CN=LDAP.ymgeo.ru/Email=admin@ymgeo.
ru
error 18 at 0 depth lookup:self signed certificate
OK

То есть ОК всё же показывает. Объясните, плиз. Уже несколько доков
прочитал, но всё равно до конца не понимаю.

Re: Re: Создание SSL сертификатов. Помогите, плз...

Да я уже смотрел её, пробовал, как там. Не получается :(

Я уж и тот скрипт попробовал для создания клиентских сертификатов.

Одно и то же:
[root@ldap_pdc out]# openssl verify ldap.pem
ldap.pem: /C=ru/ST=Russia/L=G/O=ymg/OU=ldap/CN=ldap
error 18 at 0 depth lookup:self signed certificate
/C=ru/ST=Russia/L=G/O=ymg/OU=ldap/CN=ldap
error 7 at 0 depth lookup:certificate signature failure

Не знаю, в чём причина
Данные в CA и в создаваемый сертификат ввожу одни и те же.

RomanU ()

Re: Re: Re: Создание SSL сертификатов. Помогите, плз...

мне, честно говоря, некогда смотреть самому, но тогда может эта дока будет
более полезной:

  http://www.openbsd.org/cgi-bin/man.cgi?query=ssl&sektion=8

там раздел есть GENERATING RSA SERVER CERTIFICATES FOR WEB SERVERS.
может навет на мысль какую-нибудь....

signal11 ()

Re: Создание SSL сертификатов. Помогите, плз...

2RomanU
команды правильные, я еще добавляю ключ -utf8.
какая версия openssl?
какой дистрибутив? :)

anonymous2 ★★★★ ()

Re: Re: Re: Создание SSL сертификатов. Помогите, плз...

> Данные в CA и в создаваемый сертификат ввожу одни и те же.

Насколько помню, в этом может быть проблема. Введи разные данные и посмотри что получится.

UncleAndy ★★★ ()

Re: Re: Re: Re: Создание SSL сертификатов. Помогите, плз...

> Насколько помню, в этом может быть проблема. Введи разные данные и посмотри что получится.

Спасибо большое! Ввёл разные данные, и всё стало на свои места!

RomanU ()

Re: Re: Re: Re: Re: Создание SSL сертификатов. Помогите, плз...

Еще, как мне помнится, можно в openssl.cnf написать
unique_subject = no
чтобы можно было генерировать сертификаты для одинаковых сабжектов *)

simba ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.