Varmenteen tyypin valinta
ev- no ev
rsa-ecc
varmentajan valinta
allekirjoitusoikeus
Varmenteen allekirjoituspyyntö
Varmenne tilataan varmentajalta allekirjoituspyynnöllä (Certificate Signature Request). Allekirjoituspyyntö sisältää toivotut attribuutit (esim. yrityksen nimi), tilaajan julkisen avaimen ja allekirjoituksen algoritmin, allekirjoitettuna tilaajan yksityisellä avaimella. Pyynnön allekirjoittaminen estää käytännössä tilaamasta varmenteita kolmansien osapuolten nimissä. Allekirjoituspyynnön muodostaminen tapahtuu tyypillisesti seuraavanlaisesti:
$ openssl ecparam -name secp384r1 -genkey -param_enc explicit -out private_key.pem
$ openssl req -new -sha512 -key private_key.pem -out markonnakkijadata.fi.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:FI
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:Helsinki
Organization Name (eg, company) [Default Company Ltd]:Markon Nakki ja Data
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:markonnakkijadata.fi
Email Address []:[email protected]
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Ensimmäinen komento luo elliptisten käyrien yksityisen avaimen noudattaen nimettyä käyrää secp521r1. Toinen komento luo allekirjoituspyynnön ja sen parametrit tarkoittavat seuraavaa:
- req: OpenSSL-komennolla muodostetaan ja käsitellään PKCS#10-standardin mukaisia varmennepyyntöjä
- -new: Muodostetaan uusi varmenteen allekirjoituspyyntö
- -sha512: Valitaan pyynnön allekirjoituksessa käytettävän tiivisteen algoritmiksi SHA-512
- -key privatekey.pem: Pyynnön allekirjoittamiseen käytetään avainta tiedostosta private_key.pem
- -out markonnakkijadata.fi.csr: varmenteen allekirjoituspyyntö tallennetaan tiedostoon markonnakkijadata.fi.csr
OpenSSL kyselee yleisimmin käytetyt varmenteen tiedot. Merkittävin on CommonName (CN), jota käytetään yleisimmin tunnistamaan varmenteen haltija. CommonName on useimmiten varmennetta käyttävän palvelun tai palvelimen DNS-nimi. Lisäksi kysytään haaste-salasanaa (challenge password), jota voidaan käyttää varmenteen sulkulistaamis-pyyntöjen varmentamiseen. Sitä käytetään kuitenkin erittäin harvoin ja suurin osa varmentajista jättää tiedon huomioimatta.
Varmenteen allekirjoituspyyntö lähetetään varmentajalle, joka tarkistaa pyynnön järkevyyden (esim. varmenne saa sisältää vain pyytäjän hallussa olevia verkko-osoitteita tai vain saman yrityksen nimi- tai osoitetietoja). Tämän jälkeen varmentaja tuottaa lopullisen varmenteen, allekirjoittaa sen ja lähettää varmenteen pyynnön esittäjälle.
Varmentaja ei pysty muokkaamaan allekirjoituspyynnön sisältämää julkista avainta, koska se hajottaisi asymmetrisen salausalgoritmin toiminnan. Varmentaja pystyy kuitenkin halutessaan muokkaamaan kaikkia muita tietoja, kuten esimerkiksi CommonName-kentän sisältöä. Varmenteen allekirjoituspyynnön sisältämien tietojen käsittely riippuu lähinnä varmentajan varmennepolitiikasta.
Tuottaminen
Toimittaminen
Asentamiseen liittyvät asiat
Avainsäilöformaattien loitsutus
jkst
ibmn...