Win32/Win64 OpenSSL
Добавлено: Вт май 10, 2022 11:57 pm
Прошлый раз кто-то спрашивал как сгенерировать сертификат. Генерация сертификата под виндой имеет свой синтаксис и отличается от генерации под линуксом. При генерации требуется указать правильные данные компа / пользователя, иначе сертификат будет бесполезен. Ниже показана комстрока для генерации несамоподписанного сертификата и его отзыва.
Для CA выдача на имя компа, а для клиента на логин пользователя. По крайней мере когда я игрался с генерацией сертификатов у меня всё получилось - после установки сертификата CA система выдавала, что пользовательские сертификаты прошли проверку и действительны. Проверял, выдавая сертификат на свой комп и свой акк в винде.
%ca% = имя компа, %server% = OBIMP (это просто часть имени файла и внутреннего имени сертификата, а не реальные данные), %number% = число от балды для отличия своего собственного CA от других просто по номеру, у меня был рандомный CRC64 - можно мышкой натыкать куда попало по битам в калькуляторе в режиме программиста или сгенерировать, %client% = логин пользователя.
В результате в полях кем/кому выдан должно быть что-то вроде:
Самоподписанный сертификат: Издатель = OBIMP CA 22B5ABE4A6CDA956 , Субъект = OBIMP CA 22B5ABE4A6CDA956 .
Корневой сертификат: Издатель = OBIMP CA 22B5ABE4A6CDA956 , Субъект = x2088_pc .
Пользовательский сертификат: Издатель = x2088_pc , Субъект = x2088 .
http://slproweb.com/products/Win32OpenSSL.html (Официальный сайт OpenSSL под винду).
Для CA выдача на имя компа, а для клиента на логин пользователя. По крайней мере когда я игрался с генерацией сертификатов у меня всё получилось - после установки сертификата CA система выдавала, что пользовательские сертификаты прошли проверку и действительны. Проверял, выдавая сертификат на свой комп и свой акк в винде.
%ca% = имя компа, %server% = OBIMP (это просто часть имени файла и внутреннего имени сертификата, а не реальные данные), %number% = число от балды для отличия своего собственного CA от других просто по номеру, у меня был рандомный CRC64 - можно мышкой натыкать куда попало по битам в калькуляторе в режиме программиста или сгенерировать, %client% = логин пользователя.
Код: Выделить всё
genrsa -out C:/usr/ca/%ca%.key 4096
req -x509 -new -key C:/usr/ca/%ca%.key -days 3653 -out C:/usr/ca/%server%_ca_%number%.crt
req -new -key C:/usr/ca/%ca%.key -out C:/usr/ca/%ca%.csr
x509 -req -in C:/usr/ca/%ca%.csr -CA C:/usr/ca/%server%_ca_%number%.crt -CAkey C:/usr/ca/%ca%.key -CAcreateserial -out C:/usr/ca/%ca%.crt -days 3653
genrsa -out C:/usr/crt/%client%.key 4096
req -new -key C:/usr/crt/%client%.key -out C:/usr/crt/%client%.csr
x509 -req -in C:/usr/crt/%client%.csr -CA C:/usr/ca/%ca%.crt -CAkey C:/usr/ca/%ca%.key -CAcreateserial -out C:/usr/crt/%client%.crt -days 3653
ca -revoke C:/usr/ca|crt/%client%.crt
ca -gencrl -out C:/usr/ca/%server%_ca_%number%.srl
Самоподписанный сертификат: Издатель = OBIMP CA 22B5ABE4A6CDA956 , Субъект = OBIMP CA 22B5ABE4A6CDA956 .
Корневой сертификат: Издатель = OBIMP CA 22B5ABE4A6CDA956 , Субъект = x2088_pc .
Пользовательский сертификат: Издатель = x2088_pc , Субъект = x2088 .
http://slproweb.com/products/Win32OpenSSL.html (Официальный сайт OpenSSL под винду).