Užívateľský certifikát so súkromným kľúčom

Portál AbcLinuxu, 2. května 2025 05:35

Užívateľský certifikát so súkromným kľúčom

7.2.2011 19:07 | Přečteno: 1290× | Linux

Politika podnikovej certifikačnej autority nedovoľuje exportovať súkromný kľúč z užívateľského certifikátu vo Windows. Nasleduje návod ako obísť toto obmedzenie a požívať všetky výhody certifikátu so súkromným kľúčom podpísanom podnikovou CA.

Postup je taký, že v Linuxe vytvoríme súkromný kľúč a požiadavku na certifikát. Potom z Windows požiadame o podpísanie požiadavky, uložíme podpísaný certifikát a prenesieme na Linux. Tam ešte prípadne vytvoríme PFX súbor, aby sa certifikát so súkromným kľúčom dal použiť aj vo Windows.


uzivatel@server:~$ openssl genrsa 2048 > sukromny.kluc

uzivatel@server:~$ openssl req -new -key sukromny.kluc -out certziadost.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [SK]:
State or Province Name (full name) [Stat]:
Locality Name (eg, city) [Mesto]:
Organization Name (eg, company) [Firma]:
Organizational Unit Name (eg, section) [Kotolna]:
Common Name (eg, YOUR name) []:Jozko Mrkvicka
Email Address []:jozko.mrkvicka@firma.sk

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Preniesť certziadost.csr do Windows, z Windows pripojiť sa prehliadačom na http://podnikovaca.firma.sk/certsrv, Request a new certificate -> Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file... -> do poľa Saved request prilepiť obsah súboru certziadost.csr -> Submit -> Download Certificate base64 -> Uložiť do súboru jozko.mrkvicka.b64.cer, preniesť súbor do Linuxu.


uzivatel@server:~$ openssl pkcs12 -export -out jozko.mrkvicka.pfx -in jozko.mrkvicka.b64.cer -inkey sukromny.kluc
Enter Export Password:
Verifying - Enter Export Password:

A odteraz môžeme certifikát používať napríklad na VPN.

Hodnocení: 50 %

špatné • dobré

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (0) ? , Tisk

Vložit další komentář

7.2.2011 22:51 pic | skóre: 30 | blog: Perdido_Street_Station
Rozbalit Rozbalit vše Re: Užívateľský certifikát so súkromným kľúčom

Odpovědět | Sbalit | Link | Blokovat | Admin

hm, tohle mi připomíná 4 lekci učebnice klingonsky pro pokročilé :-)

8.2.2011 00:08 Ján Chrastina | skóre: 4 | blog: Pavuk
Rozbalit Rozbalit vše Re: Užívateľský certifikát so súkromným kľúčom

Chápem že téma aj úroveň zápisu je žalostná. Jeho hlavnou úlohou je nehladať znovu openssl príkazy keď budem potrebovať certifikát so súkromným kľúčom.

8.2.2011 08:04 marek_hb
Rozbalit Rozbalit vše Re: Užívateľský certifikát so súkromným kľúčom

Chápem že téma aj úroveň zápisu je žalostná

to ne, žalostná je uroveň mých znalostí na tohle tema - proto mi to zní jako klingonština - tak jsem to myslel :)

8.2.2011 09:08 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Užívateľský certifikát so súkromným kľúčom

Odpovědět | Sbalit | Link | Blokovat | Admin

Mě velmi pobavilo schovávání soukromého klíče stanice před lokálním superuživatelem. Neznáte někdo podrobnosti?

9.2.2011 07:42 jan.xxx
Rozbalit Rozbalit vše Re: Užívateľský certifikát so súkromným kľúčom

Odpovědět | Sbalit | Link | Blokovat | Admin

OpenSSL má binárku i pro Windows. Takže Linuxu netřeba.

8.9.2011 18:37 Ján Chrastina | skóre: 4 | blog: Pavuk
Rozbalit Rozbalit vše Re: Užívateľský certifikát so súkromným kľúčom

Odpovědět | Sbalit | Link | Blokovat | Admin

Ak chceme pridať ľubovoľný subject do požiadavky, dá sa to takto:

openssl req -new -subj /CN=Jozko\ Mrkvicka/OU=01PODZEMIE/OU=017KOTOLNA/OU=0171KURICI/DC=SK/DC=FIRMA/DC=PODZEMIE -key jozko.mrkvicka.key -out jozko.mrkvicka.csr

Založit nové vlákno • Nahoru