Re: Как создавать собственные сертификаты для работы с почтовыми сообщениями

От: Alexander Kolesnikoff <ak_at_mx_ru>
Дата: Mon 11 Nov 2002 - 06:38:02 MSK

Mon Nov 11 02:16, Oleg <oleg@santech.kiev.ua> wrote:
> Добрый день!
>
> Как известно, тайна переписки охраняется Конституцией любой страны.
> Однако, во многих странах существует цензура. Прочтя мое сообщение
> вы научитесь создавать собственные сертификаты бехопасности, не
> запрашивая их у других фирм, которые хранят копии ключей в своей
> базе и пользоваться этой прекрасной почтовой системой, которой
> является CommuniGate Pro.
>
> Итак, для работы вам понадобится несколько библиотек.
>
> 1) Основная библиотека. Была в поставке OpenSSL некоторое время
> назад, после чего исчезла.
> http://ftp.leo.org/download/pub/comp/general/security/ssl/SSL/SSLeay-0.9.0b.tar.gz
> 2) Библитека для патча создаваемого сертификата с поддержкой
> S/MIME. Написана специально для сертификатов, генерируемых
> SSLeay.
> http://www.drh-consultancy.demon.co.uk/ca-fix041-tar-gz.bin
> 3) OpenSSL любой версии, желательно, последней
> www.openssl.org
>
> Привожу файл, написанный мною для генерации собственного
> сертификата:
>
> #!/bin/sh
> # Создаем корневой сертификат
> ./ssleay req -new -x509 -keyout cakey.pem -out cacert.pem -config /usr/local/ssl/lib/ssleay.cnf
> # Создаем приватный ключ пользователя и запрос на генерацию
> сертификата пользователя
> ./ssleay req -new -keyout newkey.pem -out newreq.pem -days 360 -config /usr/local/ssl/lib/ssleay.cnf
> # Подписываем собственный сертификат с получением оного
> mv ./cakey.pem CA
> mv ./cacert.pem CA
> ./ssleay ca -policy policy_anything -out cacert.pem -infiles newreq.pem
> # Патчим сертификат для поддержки S/MIME
> mv /usr/local/ssl/bin/CA/cacert.pem /usr/local/ssl/bin/CA/cacert.pem.old
> ./ca-fix -caset -nscertype 7 -in /usr/local/ssl/bin/CA/cacert.pem.old -inkey /usr/local/ssl/bin/CA/cakey.pem -o
> rm /usr/local/ssl/CA/cacert.pem.old
> # Преобразуем полученный сертификат в формат, который понимает
> CommuniGate
> ./openssl pkcs12 -export -in CA/cacert.pem -inkey CA/cakey.pem -certfile ./cacert.pem -out CA/cacert.p12
>
> Данный алгоритм генерации сертификатов проверен мною, прекрасно
> работает, замечаний и претензий нет.
>
> Документы, которыми я пользовался при изучении данной темы:
> http://www.opennet.ru/docs/RUS/ssl/
> http://slwww.epfl.ch/SIC/SL/CA/genCAcert.html
> http://www.cs.uwa.edu.au/~ryan/tech/ipsec-2000.html
>

	Что-то уж слишком мудрёно. :-) Процедура экспорта-импорта
     абсолютно лишняя. И ничего другого кроме OpenSSL не нужно исполь-
     зовать. SSLeay - предшественница OpenSSL, и про неё можно забыть.

 Alexander Получено Mon Nov 11 03:46:19 2002

Этот архив был сгенерирован hypermail 2.1.8 : Thu 06 Apr 2006 - 19:38:27 MSD