Tworzenie klucza RSA 2048-bitowego:
openssl genrsa –out klucz.key 2048 //nie działa w powershell, tam trzeba podać pełną ścieżkę pliku
Następnie, aby stworzyć CSRkę (certificate signing request) warto mieć do tego przygotowany config. Przykładowy wygląda tak:
[ req ] default_bits = 2048 prompt = no default_md = sha256 req_extensions = req_ext distinguished_name = dn [ dn ] C=PL ST=SL L=Tychy O=it.supra.tf OU=IT emailAddress=radoslaw@serba.ovh CN = it.supra.tf [ req_ext ] subjectAltName = @alt_names [ alt_names ] DNS.1 = it.supra.tf
Takie coś zapisujemy do jakiegoś pliku, np. config.cnf
.
Następnie tworzymy CSR:
openssl req -new -sha256 -key klucz.key -out it.supra.tf.csr -config config.cnf
Potem taki CSR musimy wykorzystać do podpisania certyfikatu w naszym CA. Jeśli pobierzemy plik w formacie DER zamiast Base-64, można go skonwertować w ten sposób:
openssl x509 -inform pem -in it.supra.tf.cer -out it.supra.tf.pem
Przy okazji te polecenie się przydaje do sprawdzenia zawartości CSRki:
openssl req -in shadowcontrol.anzenalab.local.csr -text -noout