Создание CA-сертификата
Если вы решили самостоятельно выпускать сертификаты, то первым делом вам надо создать сертификат вашего собственного центра сертификации. (Если вы пользуетесь услугами официального центра сертификации, можете пропустить весь текст до раздела «Распространение и установка CA-сертификата».) Запустите программу misc/CA.pl -newca, входящую в OpenSSL:
# ./CA.pl -newca
CA certificate filename (or enter to create)
Making CA certificate …
Generating a 1024 bit RSA private key
++++++
^^+++++
writing new private key to ‘./demoCA/private/cakey.pem’ Enter PEM pass phrase: О Verifying – Enter PEM pass phrase:
You are about to be asked to enter information that will be incorporated into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter the field will be left blank.
Country Name (2 letter code) [AU]:EX
State or Province Name (full name) [Some-State]:Examplia
Locality Name (eg, city) []:Exampleton
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc. Organizational Unit Name (eg, section) []:Certification Authority Common Name (eg, YOUR name) []:mail.example.com Email Address []:postmaster@example.com
О При генерации CA-сертификата вы должны ввести идентификационную фразу. Это необходимо будет делать каждый раз, когда вы в качестве центра сертификации будете подписывать или отзывать сертификаты.
Программа misc/CA.pl создает подкаталоги, в которые помещает файлы и каталоги, необходимые для работы центра сертификации. После выполнения программы у вас должен появиться новый подкаталог
misc/demoCA такого вида:
# tree demoCA/
demoCA/
cacert.pem О
certs
crl
index.txt
newcerts
private
‘– cakey.pem 0 — serial
О cacert.pem – это открытый ключ центра сертификации. Он должен находиться в корневых хранилищах сертификатов ваших хостов, чтобы они могли проверять подпись в открытом сертификате Postfix.
© cakey.pem – это секретный ключ центра сертификации. Он должен быть хорошо защищен, доступ к нему на чтение и запись должен иметь только администратор центра сертификации.