Tworzenie klucza RSA 2048-bitowego:
openssl genrsa –out klucz.key 2048 //nie działa w powershell, tam trzeba podać pełną ścieżkę pliku
Następnie, aby stworzyć CSRkę (certificate signing request) warto mieć do tego przygotowany config. Przykładowy wygląda tak:
[ req ]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn
[ dn ]
C=PL
ST=SL
L=Tychy
O=it.supra.tf
OU=IT
emailAddress=radoslaw@serba.ovh
CN = it.supra.tf
[ req_ext ]
subjectAltName = @alt_names
[ alt_names ]
DNS.1 = it.supra.tf
Takie coś zapisujemy do jakiegoś pliku, np. config.cnf
.
Następnie tworzymy CSR:
openssl req -new -sha256 -key klucz.key -out it.supra.tf.csr -config config.cnf
Potem taki CSR musimy wykorzystać do podpisania certyfikatu w naszym CA. Jeśli pobierzemy plik w formacie DER zamiast Base-64, można go skonwertować w ten sposób:
openssl x509 -inform pem -in it.supra.tf.cer -out it.supra.tf.pem
Przy okazji te polecenie się przydaje do sprawdzenia zawartości CSRki:
openssl req -in shadowcontrol.anzenalab.local.csr -text -noout