{"id":3138,"date":"2012-11-19T15:21:27","date_gmt":"2012-11-19T13:21:27","guid":{"rendered":"http:\/\/skeletor.org.ua\/?p=3138"},"modified":"2025-06-20T11:33:45","modified_gmt":"2025-06-20T08:33:45","slug":"%d1%80%d0%b0%d0%b1%d0%be%d1%82%d0%b0%d0%b5%d0%bc-%d1%81-ssl","status":"publish","type":"post","link":"https:\/\/skeletor.org.ua\/?p=3138","title":{"rendered":"\u0420\u0430\u0431\u043e\u0442\u0430\u0435\u043c \u0441 ssl"},"content":{"rendered":"

\u0412 \u0441\u0442\u0430\u0442\u044c\u0435 \u0431\u0443\u0434\u0435\u0442 \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0435\u043d\u043e \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u043f\u0440\u043e\u0441\u0442\u044b\u0445 \u043c\u043e\u043c\u0435\u043d\u0442\u043e\u0432 \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0445 \u0441 \u0440\u0430\u0431\u043e\u0442\u043e\u0439 SSL\/OpenSSL<\/strong>, \u0430 \u0438\u043c\u0435\u043d\u043d\u043e: \u0433\u0435\u043d\u0435\u0440\u0430\u0446\u0438\u044f \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0432, \u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u0430 \u0438 \u043f\u0440\u043e\u0447\u0435\u0435.<\/p>\n

<\/p>\n

1) \u0413\u0435\u043d\u0435\u0440\u0430\u0446\u0438\u044f \u043a\u043b\u0438\u0435\u043d\u0442\u0441\u043a\u0438\u0445 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0432.<\/span><\/strong><\/p>\n

#openssl req -new -newkey rsa:1024 -nodes -keyout CERT_NAME.key -subj \/C=US\/ST=ALASKA\/L='Department'\/O='Company Inc.'\/OU=IT\/CN=CERT_NAME\/emailAddress=EMAIL -out CERT_NAME.csr
\n#openssl ca -config CERT_PATH\/ca.config -in CERT_NAME.csr -out CERT_NAME.crt -batch<\/code><\/p>\n

\u0438 \u0432\u0434\u043e\u0431\u0430\u0432\u043e\u043a \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435 p12<\/strong> \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u0430 (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0434\u043b\u044f Windows<\/strong>-\u043a\u043b\u0438\u0435\u043d\u0442\u043e\u0432)<\/p>\n

#openssl pkcs12 -export -in CERT_NAME.crt -inkey CERT_NAME.key -certfile CERT_PATH\/ca.crt -out CERT_NAME.p12 -passout pass:CERT_PASS<\/code><\/p>\n

\u0433\u0434\u0435 CERT_NAME<\/strong>-\u0438\u043c\u044f \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u0430 \u0431\u0435\u0437 \u0441\u0443\u0444\u0444\u0438\u043a\u0441\u043e\u0432, CERT_PATH<\/strong> – \u043f\u0443\u0442\u044c, \u0433\u0434\u0435 \u0431\u0443\u0434\u0443\u0442 \u0441\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u044b \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u044b (\u0438 \u0433\u0434\u0435 \u043b\u0435\u0436\u0438\u0442 \u043a\u043e\u0440\u043d\u0435\u0432\u043e\u0439 ca.crt<\/strong>), EMAIL<\/strong> – email<\/strong> \u043a\u043b\u0438\u0435\u043d\u0442\u0430<\/p>\n

\u0415\u0441\u043b\u0438 \u043d\u0443\u0436\u043d\u043e \u0441\u0433\u0435\u043d\u0435\u0440\u0438\u0440\u043e\u0432\u0430\u0442\u044c p12<\/strong>-\u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442, \u043d\u043e \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u044c \u0442\u0443\u0434\u0430 \u043f\u0440\u043e\u043c\u0435\u0436\u0443\u0442\u043e\u0447\u043d\u044b\u0435 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u044b \u0441\u0435\u0440\u0432\u0435\u0440\u0430, \u0442\u043e \u0434\u0435\u043b\u0430\u0435\u043c \u0442\u0430\u043a:<\/p>\n

#openssl pkcs12 -export -chain -in .\/domain.com.crt -inkey .\/domain.com.key -certfile .\/trusted-chain.crt -out adobe.p12<\/code><\/p>\n

\u0433\u0434\u0435\u00a0domain.com.crt,\u00a0domain.com.key<\/strong> \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u043e \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442 \u0438 \u043a\u043b\u044e\u0447 \u043d\u0435\u043f\u043e\u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0435\u043d\u043d\u043e \u0434\u043e\u043c\u0435\u043d\u0430,\u00a0trusted-chain.crt<\/strong> \u0432\u0441\u0435 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u044b \u043f\u0440\u043e\u043c\u0435\u0436\u0443\u0442\u043e\u0447\u043d\u044b\u0445 \u0446\u0435\u043d\u0442\u0440\u043e\u0432 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438.<\/p>\n

2) \u041f\u0440\u043e\u0441\u043c\u043e\u0442\u0440 \u0441\u0440\u043e\u043a\u0430 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0439 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u0430<\/span><\/strong><\/p>\n

# openssl verify -CAfile .\/ca.crt CERT_NAME.crt
\nCERT_NAME.crt: OK<\/code><\/p>\n

\u041a\u0430\u043a \u0432\u0438\u0434\u0438\u043c, \u0441 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u043c \u0432\u0441\u0451 \u0432\u043f\u043e\u0440\u044f\u0434\u043a\u0435, \u0430 \u0432\u043e\u0442 \u0441\u043e \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c – \u043d\u0435\u0442 (\u0438\u0441\u0442\u0451\u043a \u0441\u0440\u043e\u043a \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f):<\/p>\n

# openssl verify -CAfile .\/ca.crt CERT_NAME2.crt
\nCERT_NAME2.crt: C = US, ST = ALASKA, L = Department, O = Company Inc., OU = IT, CN = user.domain.com, emailAddress = user@domain.com
\nerror 10 at 0 depth lookup:certificate has expired
\nOK<\/code><\/p>\n

\u041c\u043e\u0436\u043d\u043e \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0440\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u043d\u0443\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e (\u0432 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438 \u043e\u0442 \u0442\u043e\u0433\u043e, \u043a\u0430\u043a\u043e\u0439 \u0442\u0438\u043f\u0430 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u0430 \u0432\u044b \u0445\u043e\u0442\u0438\u0442\u0435 \u043f\u0440\u043e\u0432\u0435\u0440\u0438\u0442\u044c, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0439\u0442\u0435 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u044e\u0449\u0443\u044e \u043a\u043e\u043c\u0430\u043d\u0434\u0443):<\/p>\n

# openssl x509 -noout -text -in CERT_NAME.crt
\n# openssl rsa -check\u00a0-in CERT_NAME.key
\n# openssl req -text -noout -verify -in CERT_NAME.csr
\n# openssl pkcs12 -info -in CERT_NAME.p12
\n# openssl storeutl -noout -text -certs bundle.crt ==== \u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440 \u0432\u0441\u0435\u0439 \u0446\u0435\u043f\u043e\u0447\u043a\u0438 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0432 <\/code><\/p>\n

3) renew(\u043f\u0440\u043e\u0434\u043b\u0435\u043d\u0438\u0435) crl \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u0430<\/span><\/strong><\/p>\n

# openssl ca -gencrl -config .\/ca.config -crldays 500 -out .\/ca_new.crl<\/code><\/p>\n

\u0433\u0434\u0435 \u043f\u0443\u0442\u044c \u043a \u043f\u0440\u0438\u0432\u0430\u0442\u043d\u043e\u043c\u0443 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u0443 \u0431\u0435\u0440\u0451\u0442\u0441\u044f \u0438\u0437 \u043a\u043e\u043d\u0444\u0438\u0433\u0430 .\/ca.config<\/strong><\/p>\n