> Попробуй использовать CA.pl из openssl/contrib . Это такая > обвязка к опенссл (типа для тупых вроде меня). Очень > помогает, если нужно срочно сгенерить конкретный > сертификат. Потому как только там можно указать расширения сертификата.
В общем поковырялся я еще по опенссл-овским докам и нашел.
Создаем где нить openssl.cnf следующего содержания:
[req]
distinguished_name = req_distinguished_name
x509_extensions = v3_ca
prompt = no
[req_distinguished_name]
C = UA
ST = Zaporizhzhya
O = MegaCompany
CN = Serge Dukhopel
emailAddress = amirul@mail.ru
[v3_ca]
basicConstraints = CA:FALSE
extendedKeyUsage=serverAuth,clientAuth
Пытаюсь настроить удаленную отладку при помощи "Debugging tools for Windows". Одним из протоколов связи является SSL. От SSL мне нужно только шифрование трафика, так что отдавать сертификат на подпись тому же верисигну не хочется.
Много искал. Качать и ставить какой нибудь IIS тоже не особо хочется. Скачал openssl, в принципе понял как создавать самоподписанные сертификаты, но ни фига не понял как добавлять туда назначения (в частности нужно server authentication)
Киньте тулзой, линком на доку или любой другой помощью, которые позволят мне создавать эти долбанные server auth сертификаты.
Лучше всего не делать самоподписанный сертификат для сервера, а сделать самоподписанный сертификат CA, заинсталлить его в хранилище доверенных, а сертификат серверу выпустить на этом СА (не обращаясь к верисайну).
Спасибо за линк05.11.04 17:13 Автор: amirul <Serge> Статус: The Elderman
> Лучше всего не делать самоподписанный сертификат для > сервера, а сделать самоподписанный сертификат CA, > заинсталлить его в хранилище доверенных, а сертификат > серверу выпустить на этом СА (не обращаясь к верисайну). Наверное так и надо сделать, только добавлять в доверенные чужой сертификат как то не очень хочется. SSL-сертификат должен быть установлен с обоих сторон, следовательно обе стороны должны доверять этому созданному CA. Я не особо хочу доверять непонятно кому. Лучше уж сделать сертификат конкретно для SSL,самоподписать его и отключить в нем возможность подписи чего либо другого. Конечно, можно попросить присласть мне запрос (я клиент) и подписать его, но вряд ли на удаленном конце захотят добавлять мой CA-сертификат в доверенные.
Если я чего то не правильно понимаю - прошу просветить
У меня следующий вопрос. Я пытаюсь прикрутить SSL к Debugging Tools for Windows. И ни фига не выходит. Говорит, что объект не найден. Куда бежать?
Насколько я понимаю нужно использовать openssl x509 с ключом -extfile. Вот только синтаксис этого extfile-а как-то уж слишком поверхностно описан в доке по openssl
Попробуй использовать CA.pl из openssl/contrib . Это такая...04.11.04 22:04 Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
Попробуй использовать CA.pl из openssl/contrib . Это такая обвязка к опенссл (типа для тупых вроде меня). Очень помогает, если нужно срочно сгенерить конкретный сертификат.
Да ей все равно конфиг файл нужен05.11.04 10:31 Автор: amirul <Serge> Статус: The Elderman
> Попробуй использовать CA.pl из openssl/contrib . Это такая > обвязка к опенссл (типа для тупых вроде меня). Очень > помогает, если нужно срочно сгенерить конкретный > сертификат. Потому как только там можно указать расширения сертификата.
В общем поковырялся я еще по опенссл-овским докам и нашел.
Создаем где нить openssl.cnf следующего содержания:
[req]
distinguished_name = req_distinguished_name
x509_extensions = v3_ca
prompt = no
[req_distinguished_name]
C = UA
ST = Zaporizhzhya
O = MegaCompany
CN = Serge Dukhopel
emailAddress = amirul@mail.ru
[v3_ca]
basicConstraints = CA:FALSE
extendedKeyUsage=serverAuth,clientAuth
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
