Bagikan melalui


Membuat dan mengekspor sertifikat - Linux - OpenSSL

Artikel ini membantu Anda membuat sertifikat akar yang ditandatangani sendiri dan menghasilkan file .pem sertifikat klien menggunakan OpenSSL. Jika Anda memerlukan file .pfx dan .cer , lihat instruksi Windows- PowerShell .

Prasyarat

Untuk menggunakan artikel ini, Anda harus memiliki komputer yang menjalankan OpenSSL.

Sertifikat akar yang ditandatangani sendiri

Bagian ini membantu Anda membuat sertifikat akar yang ditandatangani sendiri. Setelah membuat sertifikat, Anda mengekspor file data kunci publik sertifikat akar.

  1. Contoh berikut membantu Anda membuat sertifikat akar yang ditandatangani sendiri.

    openssl genrsa -out caKey.pem 2048
    openssl req -x509 -new -nodes -key caKey.pem -subj "/CN=VPN CA" -days 3650 -out caCert.pem
    
  2. Cetak data publik sertifikat akar yang ditandatangani sendiri dalam format base64. Ini adalah format yang didukung oleh Azure. Unggah sertifikat ini ke Azure sebagai bagian dari langkah-langkah konfigurasi P2S Anda.

    openssl x509 -in caCert.pem -outform der | base64 -w0 && echo
    

Sertifikat klien

Di bagian ini, Anda membuat sertifikat pengguna (sertifikat klien). File sertifikat dihasilkan di direktori lokal tempat Anda menjalankan perintah. Anda dapat menggunakan sertifikat klien yang sama di setiap komputer klien, atau membuat sertifikat yang khusus untuk setiap klien. Sangat penting adalah bahwa sertifikat klien ditandatangani oleh sertifikat akar.

  1. Untuk membuat sertifikat klien, gunakan contoh berikut.

    export PASSWORD="password"
    export USERNAME=$(hostnamectl --static)
    
    # Generate a private key
    openssl genrsa -out "${USERNAME}Key.pem" 2048
    
    # Generate a CSR (Certificate Sign Request)
    openssl req -new -key "${USERNAME}Key.pem" -out "${USERNAME}Req.pem" -subj "/CN=${USERNAME}"
    
    # Sign the CSR using the CA certificate and CA key
    openssl x509 -req -days 365 -in "${USERNAME}Req.pem" -CA caCert.pem -CAkey caKey.pem -CAcreateserial -out "${USERNAME}Cert.pem" -extfile <(echo -e "subjectAltName=DNS:${USERNAME}\nextendedKeyUsage=clientAuth")
    
  2. Untuk memverifikasi sertifikat klien, gunakan contoh berikut.

    openssl verify -CAfile caCert.pem caCert.pem "${USERNAME}Cert.pem"
    

Langkah berikutnya

Untuk melanjutkan langkah-langkah konfigurasi, lihat Autentikasi sertifikat titik-ke-situs.