Wie Sie angeben, CA private key-Passwort für die client-Zertifikat erstellen mit OpenSSL
Baue ich ein Kommandozeilen-Skript zum erstellen eines client-Zertifikats mit OpenSSL "mini-CA" - Funktion.
Ich habe eine CA-Zertifikat und CA private Schlüssel mit einem Passwort verschlüsselt. Mit diese Dinge, die ich versuche zu erstellen, das client-Zertifikat und stolperte über die Kommandozeilen-syntax. Wie kann ich festlegen, das Kennwort für den privaten Schlüssel der ZERTIFIZIERUNGSSTELLE?
So weit, ich habe ...
openssl x509
-req
-in client.csr
-signkey client.key
-passin pass:clientPK
-CA client-ca.crt
-CAkey client-ca.key
-CAkeypassin pass:client-caPK <-- does not work
-CAcreateserial
-out client.crt
-days 365
Sehen, die markierten parameter. Ich erwarte, dass so etwas wie dieses, aber ich kann nicht finden Sie überall in den docs.
Korrigiert
Nur für die Akten. Die -signkey
parameter wird verwendet für selbst signierte Zertifikate. CA 's don' T haben Zugang zu der client den privaten Schlüssel und so wird nicht diese. Statt der -passin
parameter bezieht sich auf den privaten Schlüssel der ZERTIFIZIERUNGSSTELLE.
openssl x509
-req
-in client.csr
-CA client-ca.crt
-CAkey client-ca.key
-passin pass:CAPKPassword
-CAcreateserial
-out client.crt
-days 365
Yep... Gestimmt haben, zu schließen und zu migrieren, um SuperUser.
InformationsquelleAutor Dio F | 2015-05-24
Du musst angemeldet sein, um einen Kommentar abzugeben.
Verwenden
-passin pass
wie unten gezeigt.-signkey
parameter und damit das Kennwort, die bereits dort gekennzeichnet mit-passin
bezieht sich der parameter auf der client den privaten Schlüssel - das ist tatsächlich nicht für die CA.was ist die Bedeutung der einzelnen Teile von "passin" - parameter ? Was ist mit "bestanden" und was ist das "Geheimnis" ?
Wörtlich "pass" bedeutet, dass Passwort ist gegeben in der Befehlszeile und geheime ersetzt werden sollte mit dem tatsächlichen Passwort. Es gibt Optionen, um die Versorgung ein Passwort, mit file/fd, siehe
man openssl
für details.InformationsquelleAutor Prabhu