Útmutató digitális tanúsítvány kérvény készítéséhez felhasználók részére openssl segítségével
Ez a dokumentum rövid leírást ad arról, hogy miként igényelhetünk digitális tanúsítványt felhasználók részére az NIIF CA-tól openssl segítségével PKCS#10 formátum segítségével.
Ha valami ok miatt magunk készítjük el a PKCS#10 formátumú igénylést (CSR). Ez az openssl programcsomag használatával lehetséges, ami a legtöbb UNIX típusú operációs rendszer alatt elérhető. A programnak lehetőleg a legfrissebb verzióját használjuk. Letöltés: Windows, Linux
Felhasználói:
-
Az openssl konfigurációs file letöltése
A CSR generálásához az NIIF CA honlapján találunk egy előre megírt niif_ca_user_openssl.cnf konfigurációs file-t.Az alábbiakat kell módosítani a konfigban:
#purpose of the certificate
1.organizationalUnitName = Organizational Unit Name
1.organizationalUnitName_default = GRID # Ezek lehetnek: GRID, HBONE, General Purpose
2.organizationalUnitName = Second Organizational Unit Name
2.organizationalUnitName_default = NIIF # Például: BME, ELTE, SZFKI, SZTAKI, NIIF, ...
commonName = Common Name (YOUR name) # A felhasználó neve ékezet nélkül.
commonName_max = 64 -
A PKCS#10 kérés elkészítése
Futassuk le a
openssl req -newkey rsa:2048 -config ./niif_ca_user_openssl.cnf -out new_csr.pem
parancsot és értelemszerűen válaszoljunk a prompt-nál feltett kérdésekre. A szervezet (NIIF CA) és ország (HU) adatokat ne változtassuk meg, mert ebben az esetben érvénytelen lesz a kérésünk.
A tanusítvány kérésünk a new_csr.pem és a hozzátartozo privátkulcs a privkey.pem file-ban lesz eltárolva. A privát kulcs-hoz a generálás során megadott "pass phrase" jelszóval tudunk hozzáférni. Ha ezt jelszót elfelejtjük, akkor a tanusítványunk használhatatlan lesz.
-
A PKCS#10 eljuttatása CA hoz
Kövessük a Felhasználói digitális tanúsítvány kérelem benyújtása leírás PKCS#10 formátumú tanúsítványról szóló részét.
Az így létrehozott new_csr.pem file lesz a PKCS#10 kérés, amelynek tartalmát a "cat new_csr.pem" paranccsal tudjuk megjeleníteni.
Szerver:
-
Az openssl konfigurációs file letöltése
A CSR generálásához az NIIF CA honlapján találunk egy előre megírt niif_ca_server_grid_openssl.cnf konfigurációs file-t. Az alábbiakat kell módosítani a konfigban:
1.OU = GRID # marad GRID
# ide kell irni a szervezeti egyseg adatait
2.OU = NIIF # Például: BME, ELTE, SZFKI, SZTAKI, ...
# ide kell irni a host FQDN-jét
CN = egi1.grid.niif.hu -
A PKCS#10 kérés elkészítése
Futassuk le a
openssl req -newkey rsa:2048 -config ./niif_ca_server_grid_openssl.cnf -out hostcert_req_csr.pem
parancsot és értelemszerűen válaszoljunk a prompt-nál feltett kérdésekre. A szervezet (NIIF CA) és ország (HU) adatokat ne változtassuk meg, mert ebben az esetben érvénytelen lesz a kérésünk.
A tanusítvány kérésünk a hostcert_req_csr.pem és a hozzátartozo privátkulcs a hostkey.pem file-ban lesz eltárolva.
-
A PKCS#10 eljuttatása CA hoz
Kövessük a Felhasználói digitális tanúsítvány kérelem benyújtása leírás PKCS#10 formátumú tanúsítványról szóló részét.