Documentazione<Precedenti | Contenuti | Succ.>
5.2. Generazione di una richiesta di firma del certificato (CSR)
Sia che tu stia ottenendo un certificato da una CA o che stia generando il tuo certificato autofirmato, il primo passaggio consiste nel generare una chiave.
Se il certificato verrà utilizzato dai daemon del servizio, come Apache, Postfix, Dovecot, ecc., è spesso appropriata una chiave senza passphrase. Non avere una passphrase consente ai servizi di avviarsi senza intervento manuale, di solito il modo preferito per avviare un demone.
Questa sezione tratterà la generazione di una chiave con una passphrase e una senza. La chiave non passphrase verrà quindi utilizzata per generare un certificato che può essere utilizzato con vari daemon di servizio.
L'esecuzione del servizio protetto senza una passphrase è conveniente perché non sarà necessario immettere la passphrase ogni volta che si avvia il servizio protetto. Ma non è sicuro e una compromissione della chiave significa anche una compromissione del server.
Per generare il file Tasti per la richiesta di firma del certificato (CSR) eseguire il seguente comando da un prompt del terminale:
openssl genrsa -des3 -out server.key 2048
Generazione della chiave privata RSA, modulo lungo 2048 bit
................................++++++
.......++++++
e è 65537 (0x10001)
Inserisci la passphrase per server.key:
Ora puoi inserire la tua passphrase. Per la massima sicurezza, dovrebbe contenere almeno otto caratteri. La lunghezza minima quando si specifica -des3 è di quattro caratteri. Dovrebbe includere numeri e/o punteggiatura e non essere una parola in un dizionario. Ricorda anche che la tua passphrase fa distinzione tra maiuscole e minuscole.
Ridigita la passphrase da verificare. Una volta digitata correttamente, la chiave del server viene generata e memorizzata nel chiave.server file.
Ora crea la chiave non sicura, quella senza passphrase, e mescola i nomi delle chiavi:
openssl rsa -in server.key -out server.key.insecure mv server.key server.key.secure
mv chiave.server.chiave.server non sicura
La chiave non sicura è ora denominata chiave.servere puoi utilizzare questo file per generare la CSR senza passphrase. Per creare il CSR, eseguire il comando seguente al prompt del terminale:
openssl req -new -key server.key -out server.csr
Ti verrà chiesto di inserire la passphrase. Se inserisci la passphrase corretta, ti verrà chiesto di inserire il nome dell'azienda, il nome del sito, l'ID e-mail, ecc. Una volta inseriti tutti questi dettagli, la tua CSR verrà creata e verrà archiviata nel server.csr file.
Ora puoi inviare questo file CSR a una CA per l'elaborazione. La CA utilizzerà questo file CSR ed emetterà il certificato. D'altra parte, puoi creare un certificato autofirmato utilizzando questo CSR.