Как создавать собственные сертификаты для работы с почтовыми сообщениями

От: Oleg <oleg_at_mx_ru>
Дата: Sun 10 Nov 2002 - 22:16:42 MSK


Добрый день!

   Как известно, тайна переписки охраняется Конституцией любой страны.    Однако, во многих странах существует цензура. Прочтя мое сообщение    вы научитесь создавать собственные сертификаты бехопасности, не    запрашивая их у других фирм, которые хранят копии ключей в своей    базе и пользоваться этой прекрасной почтовой системой, которой    является CommuniGate Pro.

   Итак, для работы вам понадобится несколько библиотек.    

   1) Основная библиотека. Была в поставке OpenSSL некоторое время

      назад, после чего исчезла.
   http://ftp.leo.org/download/pub/comp/general/security/ssl/SSL/SSLeay-0.9.0b.tar.gz    2) Библитека для патча создаваемого сертификата с поддержкой 

      S/MIME. Написана специально для сертификатов, генерируемых
      SSLeay.

   http://www.drh-consultancy.demon.co.uk/ca-fix041-tar-gz.bin    3) OpenSSL любой версии, желательно, последней    www.openssl.org

   Привожу файл, написанный мною для генерации собственного    сертификата:    

   #!/bin/sh
   # Создаем корневой сертификат
   ./ssleay req -new -x509 -keyout cakey.pem -out cacert.pem -config /usr/local/ssl/lib/ssleay.cnf    # Создаем приватный ключ пользователя и запрос на генерацию      сертификата пользователя
   ./ssleay req -new -keyout newkey.pem -out newreq.pem -days 360 -config /usr/local/ssl/lib/ssleay.cnf    # Подписываем собственный сертификат с получением оного    mv ./cakey.pem CA
   mv ./cacert.pem CA
   ./ssleay ca -policy policy_anything -out cacert.pem -infiles newreq.pem    # Патчим сертификат для поддержки S/MIME    mv /usr/local/ssl/bin/CA/cacert.pem /usr/local/ssl/bin/CA/cacert.pem.old   ./ca-fix -caset -nscertype 7 -in /usr/local/ssl/bin/CA/cacert.pem.old -inkey /usr/local/ssl/bin/CA/cakey.pem -o   rm /usr/local/ssl/CA/cacert.pem.old
  # Преобразуем полученный сертификат в формат, который понимает     CommuniGate
  ./openssl pkcs12 -export -in CA/cacert.pem -inkey CA/cakey.pem -certfile ./cacert.pem -out CA/cacert.p12

  Данный алгоритм генерации сертификатов проверен мною, прекрасно   работает, замечаний и претензий нет.

  Документы, которыми я пользовался при изучении данной темы: 

  http://www.opennet.ru/docs/RUS/ssl/
  http://slwww.epfl.ch/SIC/SL/CA/genCAcert.html
  http://www.cs.uwa.edu.au/~ryan/tech/ipsec-2000.html


--
С уважением,
Олег                          mailto:oleg@santech.kiev.ua
Получено Sun Nov 10 19:17:11 2002

Этот архив был сгенерирован hypermail 2.1.8 : Fri 24 Apr 2015 - 16:12:29 MSK