Frozen Fido : RU.LINUX : Re: Certificate

ru.linux

 
 - RU.LINUX ---------------------------------------------------------------------
 From : Aleksey Barabanov                    2:5020/400     01 Aug 2005  21:52:06
 To : Vladimir Solomatin
 Subject : Re: Certificate
 --------------------------------------------------------------------------------

 Vladimir Solomatin wrote:
 
 > Пpивет All!
 > 
 > Есть стаpый сеpтификат, котоpый использует postfix для ssl аутентификации
 > пользователей. Hо у него истек сpок действия.
 
 А когда вы старого сисадмина топили в кабельном колодце он что-то кричал ?
 
 > 
 > Генеpю новый:
 > # openssl req -x509 -nodes -newkey rsa:1023 -days 730 -keyout stunnel.pem
 > # -out
 > stunnel.pem
 > ввожу нужную инфу..
 
 Это самоподписанный. У вашего издатель и субъект одинаковые, а у исходного
 нет.
 
 > 
 >>Certificate:
 >>    Data:
 >>        Version: 3 (0x2)
 >>        Serial Number: 0 (0x0)
 >>        Signature Algorithm: md5WithRSAEncryption
 >>        Issuer: C=RU, ST=Central Region, L=Voronezh, O=Example Inc.,
 >> OU=Network Security, CN=mail.example.ru/Email=root@example.ru
 
 ^^^^^^^^^^^^^^^^^^^^^^^^^
 
 >>        Validity
 >>            Not Before: Aug  1 13:06:21 2005 GMT
 >>            Not After : Aug  1 13:06:21 2007 GMT
 >>        Subject: C=RU, ST=Central Region, L=Voronezh, O=Example Inc.,
 >> OU=Network Security, CN=mail.example.ru/Email=root@example.ru
 
 ^^^^^^^^^^^^^^^^^^^^^^^^^^
 
 Там главное чтобы CN совпадал с fqdn сервера. Для проверки
 
 host "mail.example.ru/Email=root@example.ru" что сообщит ?
 
 > Пpедыдущий сеpтификат(с истекшим сpоком действия) выглядит вот так:
 > 
 >>Certificate:
 >>    Data:
 >>        Version: 3 (0x2)
 >>        Serial Number: 14 (0xe)
 >>        Signature Algorithm: md5WithRSAEncryption
 >>        Issuer: C=RU, ST=Central Region, L=Voronezh, O=Example Inc.,
 >> OU=Network Security, CN=Name Surname/Email=root@example.ru
 
 Вот такой сертификат и в самом деле может использоваться постфиксом для
 аутентификации пользователей. Hо в том лишь случае если у них есть
 сертификаты подписанные тем же CA (у вас это то, что с идиотским названием
 OU=Network Security, CN=Name Surname/Email=root@example.ru ;). А
 самоподписанный лишь для создания TLS.
 
 > Каким обpазом сгенеpить что-то подобное?
 
 Вот так например самоподписанный
 
 # openssl req -x509 -nodes -newkey rsa:1024 \
  -days 730 -keyout key.pem -set_serial 14 \
  -subj "/C=RU/ST=Central Region/L=Voronezh/O=\
 Example Inc./OU=Network Services/CN=\
 mail.domain1.example.ru/CN=mail.domain2.example.ru/CN=\
 mail.example.ru/CN=mail\/Email=postmaster@example.ru" | \
  openssl x509 -noout -text -certopt no_pubkey \
  -certopt no_sigdump | head -n 10
 Generating a 1024 bit RSA private key
 .................................++++++
 ..........................++++++
 writing new private key to 'key.pem'
 -----
 Certificate:
     Data:
         Version: 3 (0x2)
         Serial Number: 14 (0xe)
         Signature Algorithm: md5WithRSAEncryption
         Issuer: C=RU, ST=Central Region, L=Voronezh, O=Example Inc.,
 OU=Network Services, CN=mail.domain1.example.ru,
 CN=mail.domain2.example.ru, CN=mail.example.ru,
 CN=mail/Email=postmaster@example.ru
         Validity
             Not Before: Aug  1 17:48:18 2005 GMT
             Not After : Aug  1 17:48:18 2007 GMT
         Subject: C=RU, ST=Central Region, L=Voronezh, O=Example Inc.,
 OU=Network Services, CN=mail.domain1.example.ru,
 CN=mail.domain2.example.ru, CN=mail.example.ru,
 CN=mail/Email=postmaster@example.ru
 #
 
 Подробности конечно в манах...
 
 -- 
 Bye.
 Aleksey Barabanov <alekseybb at mail.ru>
 --- ifmail v.2.15dev5.3
  * Origin: home (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
Certificate	Vladimir Solomatin	01 Aug 2005 19:17:29
Re: Certificate	Aleksey Barabanov	01 Aug 2005 21:52:06

Архивное /ru.linux/18529bcdfec86.html, оценка 3 из 5, голосов 10