From 8bd5b5b9f5b8afcf94ce4a56d319237c36cbc141 Mon Sep 17 00:00:00 2001
From: Sergey Matveev <stargrave@stargrave.org>
Date: Tue, 24 Nov 2020 20:43:16 +0300
Subject: [PATCH] =?utf8?q?=D0=A1=D0=B2=D0=BE=D0=B9=20CA?=
MIME-Version: 1.0
Content-Type: text/plain; charset=utf8
Content-Transfer-Encoding: 8bit

Ð ÐÐ°ÑÑÐ¸Ð½Ðµ ÑÑÐ¼Ð° Ð¿ÑÐ¸Ð¼ÐµÑÐ¾Ð² ÐºÐ°Ðº ÑÐ²Ð°ÑÑÑ ÑÐ²Ð¾Ð¹ CA Ð½Ð° Ð¾ÑÐ½Ð¾Ð²Ðµ OpenSSL ÐºÐ¾Ð¼Ð°Ð½Ð´. Ð¯
ÑÑÐ¸ÑÐ°Ñ OpenSSL ÐºÐ¾Ð¼Ð°Ð½Ð´Ñ ÑÐ¸ÑÑÑÐ¼ ÑÐ°Ð´Ð¸Ð·Ð¼Ð¾Ð¼ Ð¸ Ð¸Ð·Ð´ÐµÐ²Ð°ÑÐµÐ»ÑÑÑÐ²Ð¾Ð¼ Ð½Ð°Ð´ ÑÐµÐ»Ð¾Ð²ÐµÐºÐ¾Ð¼.
ÐÐ°Ðº Ð¸ ÐºÐ¾Ð´ Ð¸Ñ Ð±Ð¸Ð±Ð»Ð¸Ð¾ÑÐµÐºÐ¸ Ð¸ Ð´Ð¾ÐºÑÐ¼ÐµÐ½ÑÐ°ÑÐ¸Ð¸. ÐÑÐ¸Ð²Ð¾Ð¶Ñ Ð¿ÑÐ¸Ð¼ÐµÑ ÐºÐ°Ðº Ð¼Ð¾Ð¶Ð½Ð¾ ÑÐ´ÐµÐ»Ð°ÑÑ
ÑÐ²Ð¾Ð¹ CA Ð½Ð° certtool Ð¸Ð· GnuTLS-Ð°:

* ÐÐµÐ½ÐµÑÐ¸ÑÑÐµÐ¼ Ð¿ÑÐ¸Ð²Ð°ÑÐ½ÑÐ¹ ÐºÐ»ÑÑ CA:

    $ certtool --generate-privkey --bits 512 --ecc --outfile ca.example.com.key.pem

* Ð¡Ð¾Ð·Ð´Ð°ÑÐ¼ ÑÐ°Ð±Ð»Ð¾Ð½ Ð¿Ð¾ ÐºÐ¾ÑÐ¾ÑÐ¾Ð¼Ñ Ð±ÑÐ´ÐµÑ ÑÐ¾Ð·Ð´Ð°Ð²Ð°ÑÑÑÑ ÑÐµÑÑÐ¸ÑÐ¸ÐºÐ°Ñ. Ð­ÑÐ¾ Ð¾ÑÐ´ÐµÐ»ÑÐ½ÑÐ¹
  ÑÐ°Ð¹Ð», Ð½Ð¾ Ð¾ÑÐµÐ½Ñ Ð¿ÑÐ¾ÑÑÐ¾Ð³Ð¾ ÑÐ¾ÑÐ¼Ð°ÑÐ°:

    $ cat > ca.example.com.tmpl <<EOF
    dn = "cn=ca.example.com"
    serial = 1
    expiration_days = 3650
    ca
    cert_signing_key
    EOF

  Ð³Ð´Ðµ ÑÐºÐ°Ð·ÑÐ²Ð°ÐµÑÑÑ ÑÐ¾Ð»ÑÐºÐ¾ ÑÐ°Ð¼Ð¾Ðµ Ð±Ð°Ð·Ð¾Ð²Ð¾Ðµ (DN/CN/serial, ÑÑÐ¾Ðº Ð³Ð¾Ð´Ð½Ð¾ÑÑÐ¸, ÑÐ¾
  ÑÑÐ¾ ÑÑÐ¾ CA, ÐºÐ¾ÑÐ¾ÑÑÐ¹ Ð¼Ð¾Ð¶ÐµÑ Ð¿Ð¾Ð´Ð¿Ð¸ÑÑÐ²Ð°ÑÑ ÑÐµÑÑÐ¸ÑÐ¸ÐºÐ°ÑÑ)

* ÑÐ¾Ð·Ð´Ð°ÑÐ¼ ÑÐ°Ð¼Ð¾Ð¿Ð¾Ð´Ð¿Ð¸ÑÐ°Ð½Ð½ÑÐ¹ ÑÐµÑÑÐ¸ÑÐ¸ÐºÐ°Ñ:

    $ certtool \
        --generate-self-signed \
        --load-privkey ca.example.com.key.pem \
        --template ca.example.com.tmpl \
        --outfile ca.example.com.pem

* Ð° Ð´Ð°Ð»ÑÑÐµ ÑÐ¾Ð·Ð´Ð°ÑÐ¼ ÐºÐ»ÑÑÐ¸ Ð¸ ÑÐµÑÑÐ¸ÑÐ¸ÐºÐ°ÑÑ ÑÐ¶Ðµ Ð´Ð»Ñ ÐºÐ¾Ð½ÐµÑÐ½ÑÑ ÑÐµÐ»ÐµÐ¹.
  ÐÐµÐ½ÐµÑÐ¸ÑÑÐµÐ¼ ÐºÐ»ÑÑ:

    $ certtool --generate-privkey --bits 256 --ecc --outfile $domain.key.pem

* ÑÐ°Ð±Ð»Ð¾Ð½ Ð·Ð°Ð¿ÑÐ¾ÑÐ° Ð½Ð° ÑÐµÑÑÐ¸ÑÐ¸ÐºÐ°Ñ:

    $ cat > $domain.tmpl <<EOF
    dn = "cn=$domain"
    expiration_days = 365
    signing_key
    dns_name = "$domain"
    EOF

  dns_name Ð´Ð¾Ð±Ð°Ð²Ð»ÑÐµÑÑÑ subjectAltName ÑÐ°ÑÑÐ¸ÑÐµÐ½Ð¸Ðµ, ÐºÐ¾ÑÐ¾ÑÐ¾Ðµ Ð¾Ð±ÑÐ·Ð°ÑÐµÐ»ÑÐ½Ð¾
  Ð½Ð°Ð¿ÑÐ¸Ð¼ÐµÑ Ð´Ð»Ñ Go x509 Ð¼Ð¾Ð´ÑÐ»Ñ. ÐÐµ Ð¿Ð¾Ð¼ÐµÑÐ°ÐµÑ

* Ð²ÑÐ¿ÑÑÐº ÑÐµÑÑÐ¸ÑÐ¸ÐºÐ°ÑÐ°, Ð¿Ð¾Ð´Ð¿Ð¸ÑÑÑ CA:

    $ certtool \
        --load-ca-certificate ca.example.com.pem \
        --load-ca-privkey ca.example.com.key.pem \
        --generate-certificate \
        --load-privkey $domain.key.pem \
        --template $domain.tmpl \
        --outfile $domain.pem

Ð­ÑÐ¾Ð³Ð¾ Ð´Ð¾ÑÑÐ°ÑÐ¾ÑÐ½Ð¾ ÑÑÐ¾Ð±Ñ ÑÐ¾ÑÑ Ñ Ð²ÑÐ¿ÑÑÐµÐ½Ð½ÑÐ¼Ð¸ ÑÐµÑÑÐ¸ÑÐ¸ÐºÐ°ÑÐ°Ð¼Ð¸ ÑÐ°Ð±Ð¾ÑÐ°Ð». ÐÐ¾ÑÐµÐ¼Ñ
ECC (ECDSA)? ÐÐ¾ÑÐ¾Ð¼Ñ ÑÑÐ¾ ÐºÐ¾Ð¼Ð¿Ð°ÐºÑÐ½Ð¾, Ð±ÑÑÑÑÐ¾, ÑÑÑÐµÐºÑÐ¸Ð²Ð½Ð¾. ÐÐ° Ð¿Ð¾Ð¼Ð¾Ð¹ÐºÑ ÑÐµÑ
ÐºÑÐ¾ ÑÐ¼ÐµÐµÑ ÑÐ¾Ð»ÑÐºÐ¾ RSA. Ð¯ Ð±Ñ ÐºÐ¾Ð½ÐµÑÐ½Ð¾ Ð¿ÑÐµÐ´Ð¿Ð¾ÑÑÐ» EdDSA, Ð½Ð¾ ÑÑÐ¾ ÑÐ¾ÑÐ½Ð¾ Ð´Ð°Ð»ÐµÐºÐ¾
Ð½Ðµ Ð²ÑÐµÐ¼Ð¸ Ð¿Ð¾Ð´Ð´ÐµÑÐ¶Ð¸Ð²Ð°ÐµÑÑÑ.
-- 
2.48.1