因此,我们
开始创建自签名证书。
自签名证书在哪里适用? 当然,使用自签名证书,您将无法在State Services网站上注册或将签名的声明提交给联邦税务局。 但是对于内部公司工作流程,可以使用它们。 您还可以在VPN网络等中使用它们来保护个人电子邮件通信。 但是大多数情况下,它们使用自签名SSL证书通过https协议提供对Web应用程序的安全访问。
OpenSSL仍然是创建自签名证书的最受欢迎的工具。 使用相同的OpenSSL获取SSL证书的过程
在此处进行了详细说明 。 但是在这里您找不到提及GOST证书,
PKCS#11令牌等的信息。 在这里,我们看一个简单的图形界面,它使您无需使用OpenSSL即可获得基于GOST R 34.10-2012的证书。
您可以在此处获取cryptoarmpkcs实用程序 因此,单击“自签名证书”按钮:
如您所见,此选项卡与
创建证书
申请时的同一选项卡没有太大不同。 出现了用于选择生成的证书类型“证书类型”的按钮:
-用户证书(用户按钮);
-根证书(CA按钮);
-SSL证书(SSL按钮)。
自然地,您需要通过发布根证书来开始工作,然后在此基础上发布所有其他证书。 创建根证书时,请不要忘记在密钥分配(使用)中启用“证书签名”复选框:
我们忽略了证书主要字段的填写,它们与为请求填写相同字段没有什么不同,请立即转到最后一页。 这是第一个:
在此页面上,您必须选择用于保存根证书及其私钥的文件夹。 然后,在颁发其他证书时将需要指定此文件夹。 您还必须确定证书的有效期。 您还可以指定获取根证书的位置。 发行后,证书和私钥将打包在
PKCS#12最喜欢的安全
容器中 。 在这方面,您必须为容器设置密码。 结果,单击“完成”按钮后,将收到一个根证书:
颁发证书时,我们在指定目录中获得四个文件:
- 证书本身的rootCA.cer格式为您选择的(PEM / DER);
- 具有证书请求的rootCA.csr;
- 具有证书和私钥的rootCA.pfx受密码保护的PKCS#12容器;
- 带有您选择的格式(PEM / DER)的私钥的rootCA.key。
rootCA.key文件,如果您不打算使用它,则最好立即销毁它。 否则,请将其存放在其他人无法接近的地方。 同时,也不要隐藏rooCA.pfx容器的密码。
现在我们有了根证书,我们可以开始发布用户证书,包括SSL证书:
选择证书类型(SSL证书),密钥类型,其参数以及如何使用(密钥)之后,我们转到下一页:
该页面设置主域名,该域名将在“通用名称”字段中输入,您还可以指定域的其他(替代)名称。 您还可以指定您的域可以位于的IP地址。 所有这些都是为了“
梦green以求的绿色城堡” 。
处理完域后,IP地址转到以下选项卡。 那里一切正常。 唯一的区别是,单击“完成”按钮后,将要求rootCA.pfx根容器的密码:
成功输入密码后,我们还将获得四个文件:
上面与根证书有关的所有有关密码和私钥的注释都适用于证书的其余部分。 我们颁发的所有证书。 接下来是什么?
使用它们。 如果这些是用户证书,则可以通过文档流中用于签名文档的
PKCS#12容器在同一实用程序中使用它们,例如:
对于SSL证书,必须将它们用于预期目的,以便与Web应用程序一起组织安全通道。 作为这样的应用程序,我们采用了CA,根据GOST https组织了对管理员资源的访问。 CA在Apache2-2.4.10的基础上使用模块mod_ssl进行部署,该模块支持俄语加密系统。 在服务器(Linux)上,将接收到的SSL证书(<您的目录> /self_xxx.cer)及其私钥(<您的目录> /sel_xxx.key)放在/ etc / ssl文件夹中,并在文件中写入它们的路径/ etc / apache2 / sites-available / default-ssl:
... SSLCertificateFile < >/self_xxx.cer SSLCertificateKeyFile < >/self_xxx.key ....
重新启动apache2:
在工作场所(我有Linux)中,在
支持俄语加密的
浏览器中,请放心安装我们的根证书(<您的目录> /rootCA.cer)。 在工作的计算机上,将以下行添加到/ etc / hosts文件中:
192.168.0.233 www.shield-ra.ru shield-ra.ru shield-ra
并转到以下地址之一:
点燃,烧掉了“向往绿色锁”。
检查其余地址:
周围绿色。 最后,让我们看看我们使用了哪个密码套件:
为了为先前创建的证书请求创建自签名证书,已扩展了“查看请求/证书”页面的功能:
从屏幕截图可以看出,现在您不仅可以查看请求,还可以在该请求上颁发证书。 rootCA.pfx容器用作根证书。 当您单击“问题”按钮时,将显示一个带有请求的窗口,您可以单击“问题证书”按钮:
单击该按钮后,将请求根容器的密码并颁发证书:
顺便说一句,您可以在同一页面上查看收到的证书(按钮“证书文件”)。
因此,我们的密码实用程序cryptoarmpkcs可让您:
-使用支持俄罗斯密码的PKCS#11令牌;
-创建证书申请;
-使用PKCS#11令牌创建和验证电子签名(最多CAdes XLT1);
-使用PKCS#12容器创建电子签名(最多CAdes XLT1);
-颁发自签名证书;
-查看证书和要求。
告诉我,我们可能会考虑其中的某些缺失。 多谢您的耐心配合。
PS现在,您可以直接从实用程序下载更新的版本。 为此,只需将鼠标光标移至标题“ PKCS#11,X509v3 ...”上方,按鼠标右键,然后选择菜单项“关于程序”:
