Utworzenie CA i certyfikat serwera
Konfiguracja CA
# cd /etc/ssl # mkdir requests # mkdir newcerts # mkdir crl # touch index.txt # echo 00 > serial
Klucz prywatny CA
# openssl genrsa -des3 -out private/cakey.pem 4096
Certyfikat CA – 5 lat
# openssl req -new -x509 -config openssl-ca.cnf -days 1825 -key private/cakey.pem -out cacert.pem
Klucz serwera – niezaszyfrowany
# openssl genrsa -nodes -out private/mail.h27.pl.pem 2048 -nodes - niezaszyfrowany, dostępny dla usług lub -des3 - szyfrowanie klucza DES3
Wniosek o wystawienie certyfikatu serwera
# openssl req -new -key private/mail.h27.pl.pem -out requests/mail.h27.pl.pem
Podpisanie wniosku przez CA
# openssl ca -notext -in requests/mail.h27.pl.pem -out newcerts/mail.h27.pl.pem
Weryfikacja
# openssl verify -purpose sslserver /etc/sslnewcerts/mail.h27.pl.pem error 26 at 0 depth lookup: unsupported certificate purpose error /etc/ssl/newcerts/mailserver.pem: verification failed
Weryfikacja z podanie certyfikatu CA
# openssl verify -purpose sslserver -CAfile cacert.pem /etc/ssl/newcerts/mail.h27.pl.pem /etc/ssl/newcerts/mail.h27.pl.pem: OK