ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Alexander Kolesnikoff                2:5020/400     01 Mar 2005  20:07:22
 To : Mikhail Bunzya
 Subject : Re: Создание SSL-сертификатов
 -------------------------------------------------------------------------------- 
 

 Mikhail Bunzya <Mikhail.Bunzya@p116.f75.n5004.z2.fidonet.org> wrote:
 
 > Hello, All !
 > 
 > Hужно создать сертификат, который будут использовать postfix и
 > courier-imap для tls и apache, соответственно для https.
 > 
 > Hужно создать свой CA и подписать им сертификат для сервера, т.е. покупка
 > не предполагается, самоподписываемый сертифика в силу разных причин так же
 > не нужен.
 > 
 > Воспользовался уже множетсвом источников описывающих данную тематику(в
 > основном с opennet.ru), но везде на разных этапах возникли проблемы. Вот
 > один из последних алгоритмох, который так же привел меня в тупик:
 > 
 > openssl req -new -x509 -days 3650 -keyout ca.pem -out ca.pem
 > openssl rsa -in ca.pem -out ca.key
 > openssl x509 -in ca.pem -out ca.crt
 > openssl req -new -keyout ssl.key/server.pem -out ssl.csr/server.pem
 > openssl rsa -in ssl.key/sever.pem -out server.key
 
     Бр-р-р .... ;-)
 
 > 
 > до этого момента все не плохо, но после строчки
 > 
 > openssl ca -policy policy_anything -out ssl.crt/server.pem -infiles
 > ssl.csr/server.pem
 > 
 > вылазит примерно следующее
 > 
 > Using configuration from /etc/ssl/openssl.cnf
 > unable to load certificate
 > 1350:error:0906DOC.PEM routines:PEM_read_bio:no start line
 > /usr/src/.../pem_lib.c:632: Expecting: TRUSTED CERTIFICATE
 > Error openning certificate ssl.crt/server.pem
 > .....
 > 
 > Подскажите где и что я делаю не так. Или дайте пожалуйста свой проверенный
 > алгоритм.
 > 
 
   1. Для общего понимания: http://www.pseudonym.org/ssl/
 
        особенно раздел the cookbook (short and very well).
     Вообще, эту ссылку можно и в FAQ, я думаю. За несколько лет ничего более
     толкового не видел. А на www.openssl.org линк на этот cookbook - мертвый
     уже несколько лет, к сожалению.
 
   2. Hе ленись при установке системы вообще, и если предполагается работа с
 сертификатами особенно, ставить src/scripto. Там есть замечательный скрипт:
   CA.pl (в каталоге openssl). Почему его сразу нет в системе мне непонятно.
 Запоминать все эти ключи openssl .... ну его нафиг. Для практических задач
 возможностей этого скрипта более чем достаточно. Я лично ничем другим не
 пользуюсь.
 
   3. http://www.aet.tu-cottbus.de/personen/jaenicke/pfixtls/doc/myownca.html
 
    Это сайт автора TLS патча для постфикса и одного из членов "OpenSSL
 team". То же, short and very well. ;-)
   Alexander Kolesnikoff
 --- ifmail v.2.15dev5.3
  * Origin: UKU (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    Создание SSL-сертификатов   Mikhail Bunzya   01 Mar 2005 15:10:14   Создание SSL-сертификатов   Ilya Kulagin   01 Mar 2005 14:45:01   Re: Создание SSL-сертификатов   Alexey Markov   01 Mar 2005 17:05:38   Re: Создание SSL-сертификатов   Victor Sudakov   27 Mar 2005 08:45:59   Re: Создание SSL-сертификатов   Alexey Markov   28 Mar 2005 12:47:03   Re: Создание SSL-сертификатов   Victor Sudakov   28 Mar 2005 13:00:18   Создание SSL-сертификатов   Andrey Ostanovsky   28 Mar 2005 15:21:32   Re: Создание SSL-сертификатов   Victor Sudakov   28 Mar 2005 17:39:40   Re: Создание SSL-сертификатов   Mikhail Bunzya   29 Mar 2005 12:32:25   Создание SSL-сертификатов   Ilya Kulagin   29 Mar 2005 13:45:21   Re: Создание SSL-сертификатов   Eugene Grosbein   29 Mar 2005 17:13:47   Re: Создание SSL-сертификатов   Alexey Markov   29 Mar 2005 15:04:26   Re: Создание SSL-сертификатов   Alexander Kolesnikoff   01 Mar 2005 20:07:22