Sdílet prostřednictvím


Generování a export certifikátů – Linux – OpenSSL

Tento článek vám pomůže vytvořit kořenový certifikát podepsaný svým držitelem a vygenerovat soubory .pem klientského certifikátu pomocí OpenSSL. Pokud místo toho potřebujete soubory .pfx a .cer , přečtěte si pokyny pro Windows– PowerShell .

Požadavky

Chcete-li použít tento článek, musíte mít počítač se spuštěnou aplikací OpenSSL.

Kořenový certifikát podepsaný svým držitelem

Tato část vám pomůže vygenerovat kořenový certifikát podepsaný svým držitelem. Po vygenerování certifikátu exportujete datový soubor veřejného klíče kořenového certifikátu.

  1. Následující příklad vám pomůže vygenerovat kořenový certifikát podepsaný svým držitelem.

    openssl genrsa -out caKey.pem 2048
    openssl req -x509 -new -nodes -key caKey.pem -subj "/CN=VPN CA" -days 3650 -out caCert.pem
    
  2. Vytiskněte veřejná data kořenového certifikátu podepsaného svým držitelem ve formátu base64. Jedná se o formát, který Azure podporuje. Tento certifikát nahrajte do Azure v rámci kroků konfigurace P2S.

    openssl x509 -in caCert.pem -outform der | base64 -w0 && echo
    

Klientské certifikáty

V této části vygenerujete uživatelský certifikát (klientský certifikát). Soubory certifikátů se generují v místním adresáři, ve kterém příkazy spouštíte. Stejný klientský certifikát můžete použít na každém klientském počítači nebo vygenerovat certifikáty specifické pro každého klienta. Je důležité, aby certifikát klienta byl podepsaný kořenovým certifikátem.

  1. K vygenerování klientského certifikátu použijte následující příklady.

    export PASSWORD="password"
    export USERNAME=$(hostnamectl --static)
    
    # Generate a private key
    openssl genrsa -out "${USERNAME}Key.pem" 2048
    
    # Generate a CSR (Certificate Sign Request)
    openssl req -new -key "${USERNAME}Key.pem" -out "${USERNAME}Req.pem" -subj "/CN=${USERNAME}"
    
    # Sign the CSR using the CA certificate and CA key
    openssl x509 -req -days 365 -in "${USERNAME}Req.pem" -CA caCert.pem -CAkey caKey.pem -CAcreateserial -out "${USERNAME}Cert.pem" -extfile <(echo -e "subjectAltName=DNS:${USERNAME}\nextendedKeyUsage=clientAuth")
    
  2. K ověření klientského certifikátu použijte následující příklad.

    openssl verify -CAfile caCert.pem caCert.pem "${USERNAME}Cert.pem"
    

Další kroky

Pokud chcete pokračovat v postupu konfigurace, přečtěte si téma Ověřování certifikátů typu Point-to-Site.