Los Angeles -osuuden suunnittelua

Lauantai-ilta, pikkasen viiniä ja isoja metrokarttoja. Los Angeles on tämän illan suunnittelukohteena. Los Angelissa on tarkoitus viettää rantalomaa – sellainen kuuluu jokaiseen lomareissuun Smile.

Los Angelesin metrojärjestelmän kattavuus jättää toivomisen varaa. Meidän pitää 18.09. aamulla klo 07:00 olla tietyn hotellin edessä. Sieltä alkaa meidän reissu kohti Grand Canyonia. Hotellin sijanti ei ole optimaalinen, sillä rannalle on liki 10 kilometriä matkaa.
Saimme idean tutkia polkupyörän käyttöä L.A.:ssa. Rantareissut metrolla ja polkupyörällä näyttävät vaativan useamman kilometrin polkemista. Etäisyys pyöräille ei ole paha, mutta parina liikkuessamme tandem vähentäisi merkittävästi parin välille muodostuvaa kitkaa… Kaupunkin liikenne ja polkupyöräystävällisyys on myös epäselvää, voi olla että liikenne ei ole kovin polkupyöräystävällistä vaikka pyöriä voi vuokrata monesta paikkaa.

Julkisen liikenteen karttaa tutkittuamme päädymme siihen että pohjoispuolelta, Santa Monicasta tai Hollywoodista pitäisi löytyä majoituspaikka. Santa Monica Pier on nähtävä, kun L.A.:ssa kerran käydään. Itseasiassa, majoittuminen Santa Monican lähelle taitaa olla meidän tavoite. Päävalintakriteerinä on mahdollisuus lenkkeillä. Tutkittuamme lenkkeilumahdollisuuksia päädyimme siihen että lenkkeilu aamutuimaan rannalla on se juttu. Näin ollen majoitusetsintä vei meidät Venice beachille hostelleihin. Mitään konkreettista ei tullut vielä tänä iltana varattua. Venice beachin ongelma vaikuttaa olevan kodittomat ihmiset ja mitään selkeää voittajaa hostellien kesken ei löytynyt.

Kahden ja puolen tunnin suunnittelun jäljiltä tiedämme mihin ilmansuuntaan kaupungissa haluamme majoittua, miten metrot kulkevat, että rannalla on paras lenkkeillä aamutuimaan, pyöriä saa viedä metroon ja kodittomat ovat  Venicessa ongelma. Onneksi meillä on kuukausia aikaa…

2013-02-02 19.58.202013-02-02 20.04.37

ESX:n hallintaa yli SSH:n

Joskus tarve säätää iskee silloin kun omaa laitteistoa ei ole sopivasti käsillä tai käsillä oleva laitteisto on isommalla näytöllä varustettu kuin mitä puhelimeni. Tällöin on olisi näppärää vetäistä minimityökaluilla säätö käyntiin. Ehkäpä minua ei huvita jättää jälkeeni ohjelmistoa ja avaimia millä saa VPN yhteyden kotiini, kun todellisuudessa tarvin vain vSphere yhteyden ESX serverille. Silloin tehdään seuraavaa

1) Putty:lla SSH yhteys reitittimelle, portti ohjaukset ESX serverin portteihin 443 ja 902

2) Lisätään hosts tiedostoon (C:\WINDOWS\system32\drivers\etc\hosts) TUPESXP00? missä ? on joko 1 tai 2, riippuen kummalle koneelle menen.

tämän jälkeen kaikki toimii kuin olisi kotona. \o/

Physical security

All digital security is meaningless if the physical security is lacking. There for getting this right is one of the key things. I’m not going into the details of cooling or fire alarms or any such thing, but do note that these have effect on the security when implemented without care. Example when fire extinguisher is activated doors open so that everyone can exit and firemen and easily enter. The way the doors open should always be out of the main space. Emergency opening mechanisms should not leave the door open, they should unlock it only temporarily, this of course is again subject to local laws. No server room should have windows.

I would divide server hosting to three different security levels.

  • normal
  • secure
  • high secure

At normal level access to server facility should be limited to authorized personnel only, noting that not all servers should be accessible by all admins. Normal level security for financial servers and normal level security for example web servers should be implemented so that these servers are in different rooms with different accesses. Of course, now I’m assuming that one has sufficient staff for this kind of separation. Practicalities must be taken in to account, could be that all standard security servers are accessible by all three administrators that the company has. Normal level must of course log all entering the space, with video camera being the preferable way. The loading bay and the way to get the servers in needs to be protected at least at the same level than any other entry to these rooms.

Secure level is a bit upwards from normal level. These servers could be located in the same place as normal level servers, but physical access to these is limited little bit more. The rack they are located in must be locked and monitored with a camera from front and back. At the very basic level at least network equipment should be security classified devices, but network HSM’s or servers with card readers, internal HSM or anything that needs to be physically activated should generally be located here. Major mistake with these racks is pointing the cameras so that the passwords of the administrators can be read when they use the console for these servers. Cameras should never point so that passwords could be read from the recording. Keys to the rack should be somewhere else, perhaps with a guard or receptionist or monitoring, somewhere where human interaction is required to get those keys to the racks. Naturally here we need process so that people can’t go willi-nilly getting the keys. – A valid reason is needed, such could be an approved work order or a production incident.

High security, now we are talking guards, dual access, sealed walls, full blown “nuclear bomb level” protection copied from military practices. Designer needs to be bat-crap insane and really sure others are out to get him or his computers. This deservers a good, deep explanation of the security requirements, so I’ll safe it to the next post.

How to do security stuff in company settings?

A friend, who’s opinion I do value, told me that the previous texts regarding building a CA was too simple, stuff that could easily be figured out and that stuff just was nothing to talk about. Granted, all that could be figured out from the web. Apparently dual control, split roles and such would be things that would be interesting and not enough is written about it. So, here goes.

I’ll take the goal of building a serious CA in a company environment where one would have resources at their disposal. These settings could be generalized to any security server and I, by far, am not a specialist on all the stuff I cover, I try to point out where my knowledge gets thin.

Lets get to basics and build up from there. This section of my blogs will be a mixture of physical, technical and process in an order that I feel writing about.

Reittisuunnitelma

2013-01-26 12.40.26Makuuhuoneen ovessa on ollut pitkään tuloste Pohjois- ja Etelä-Amerikasta, johon on saanut piirtää ja merkata haluamiaan kohteita.

Vuodenvaihteen jälkeen aloimme Kristan johdolla työstämään halutuista kaupungeista reittiä kasaan. Torstai 24.01. tilasimme liput ja näin ollen runko on lyötynä lukkoon. Allaoleva kuva on suunnittelustamme. Liitutaulu on lyömätön suunnittelutyökalu Smile

Liikkelle 24.08.2013 Helsingistä kohti New Yorkia. Washingtonin kautta Buffaloon, josta matka vie meidät Los Angelesiin, missä teemme pienen reissun kohti Grand Canyonia tämän jälkeen matkustellaan Chileen moikkaamaan tuttuja ja sieltä palataan Rio De Janeiron (sweeeeeet) kautta Suomeen niin että 11.10. 2013 olemme Helsingissä taas.

Lähtösuunnitelma

CRL

Viimeinen palanen mikä tarvitaan toimivan PKI rakenteen ylläpitämiseen on varmenteiden hylkäyslista (CRL) tai OCSP, joka puolestaan vastaa reaaliajassa varmenteen tilan.

CRL on vanha tuttu, joten aloitin sen kanssa. Itseasiassa CRL:n liittyvät asiat olin päättänyt jo juuri CA:ta tehdessä. CRL tulee löytyä osoitteesta crl.leivo.org. Jotta varmenteet toimivat ulkopuolellekin oikein on tuo crl.leivo.org julkisesti saavutettavissa. Se on itseasiassa tämä web palvelin. Toinen tärkeä huomioitava asia on, että sisäverkossa homman on toimittava myös, joten sisäverkossani crl.leivo.org onkin minun Microsoft Home server. Näinollen WLAN tunnistus, kun sinne saakka päästään, tulee toimivaan vaikka nettiyhteys olisikin kentässä jostain syystä.

OpenSSL on helppo virittää sylkemään pihalle CRL:ää. Minulla palvelin on viritetty sylkemään 30 minuutin välein uusi CRL. Tämä tarkoittaa sitä että varastettu/menetetty varmenne on käyttökelpoinen noin 30 minuuttia sen hylkäämisenkin jälkeen. OpenSSL luo normaalisti PEM muotoisia CRL:iä. Windows käyttäytyy kauniisti DER muotoisten CRL:n kanssa, joten valitse oma myrkkysi.

PEM: openssl ca -config testca.cnf -gencrl -out crl/Rootca-crl.pem
DER: openssl ca -config testca.cnf -gencrl -outform DER -out crl/LeivoI-CA.crl

kuten konfiguraatioista huomaa, minä sotkin PEM ja DER muotoja keskenään. Tämä siksi, että huomasin Windowsin ominaisuuden vasta myöhemmin Smile.

Tämän jälkeen skriptejä päivittämään CRL pitkin eri web palvelimia ja homma on kunnossa.

Kevyen taisteluväsymyksen vuoksi, en tässä vaiheessa konffaa OCSP:tä käyttöön. Se tulkoon myöhemmin.

Sub CA

Tämän operaation jälkeen voin alkaa jo käyttämään tätä rakennelmaa, eli luomaan varmeneita koneilleni. Ei ollut edes vaikea setti Open-mouthed smile.

Pohjatyöt

Samat kuin aikaisemmin katso OpenSSL ja CA:n luominen. Varsinainen konfiguraatiotiedosto:

Konfiguraatiotiedosto

Alku on pitkälti sama, muutetaan vaan määritykset täsmäämään uuteen hakemistorakenteeseen ja varmenteisiin.

#
# OpenSSL configuration for Leivo Sub CA
#

# This definition stops the following lines choking if HOME isn’t
# defined.
HOME            = .
RANDFILE        = $ENV::HOME/.rnd

####################################################################
[ ca ]
default_ca    = Leivo_sub        # The default ca section

############################# Defining CA ######################################
[ Leivo_sub ]

dir        = d:/temp/sub-testCA    # Where everything is kept
certs        = $dir/certs        # Where the issued certs are kept
crl_dir        = $dir/crl        # Where the issued crl are kept
database    = $dir/index.txt    # database index file.
new_certs_dir    = $dir/newcerts        # default place for new certs.

certificate    = $dir/Leivo_sub.pem    # The CA certificate
serial        = $dir/serial         # The current serial number
crlnumber    = $dir/crlnumber    # the current crl number
crl        = $dir/crl.pem         # The current CRL
private_key    = $dir/private/sub-ca.key # The private key
RANDFILE    = $dir/private/.rand    # private random number file
string_mask    = utf8only

######################## End of defining CA ####################################

Tästä kohtaa alkaa pääasialliset erot. Luulen, että yleensä allekirjoitan palvelimen SSL varmenteita, joten peruslaajennus, joka lisätään varmenteeseen on ssl_cert. Myönnän yleensä vuoden voimassaolevia varmenteita, joten default_days on 365. CRL on voimassa maksimissaan 3 päivää, ei vuoden kuten juuri CA:n kanssa.

#################### Defining certificate signing ##############################
x509_extensions    = ssl_cert        # The extentions to add to the cert
name_opt     = ca_default        # Subject Name options
cert_opt     = ca_default        # Certificate field options

crl_extensions    = crl_ext

default_days    = 365            # how long to certify for
default_crl_days= 3             # how long before next CRL
default_md    = sha256        # use public key default MD
preserve    = no            # keep passed DN ordering

policy        = policy_match

# For the CA policy
[ policy_match ]
countryName            = match
organizationName        = match
commonName            = supplied
emailAddress                   = optional

################## End of defining certificate signing #########################

Tässä kohtaa sisältö on jo täysin eri. Sub CA ei saa allekirjoittaa itselleen Sub CA, joten kaikki varmenteet ovat mallia basicConstraints= CA:FALSE. SSL_CERT on normaali SSL varmenne SSL palvelin laajennuksin. USR_CERT on käyttäjävarmenne SSL asiakas laajennuksin. OCSP on OCSP:n varmenne rakenne.

################## Certificate types #########################

[ ssl_cert ]
basicConstraints        = CA:FALSE
keyUsage            = critical, keyEncipherment, digitalSignature
extendedKeyUsage        = serverAuth
crlDistributionPoints     = URI:http://crl.leivo.org/LeivoICA-crl.crl
authorityInfoAccess         = OCSP;URI:http://ocsp.leivo.org:4444

[ usr_cert ]
basicConstraints        = CA:FALSE
keyUsage            = critical, nonRepudiation, keyEncipherment, digitalSignature
extendedKeyUsage        = clientAuth
crlDistributionPoints     = URI:http://crl.leivo.org/LeivoICA-crl.crl
authorityInfoAccess         = OCSP;URI:http://ocsp.leivo.org:4444

[ crl_ext ]
issuerAltName            = issuer:copy
authorityKeyIdentifier    = keyid:always

[ ocsp ]
basicConstraints        = CA:FALSE
subjectKeyIdentifier        = hash
authorityKeyIdentifier    = keyid:always,issuer
extendedKeyUsage        = critical, 1.3.6.1.5.5.7.3.9
crlDistributionPoints     = URI:http://crl.leivo.org/LeivoICA-crl.crl

################## End of Certificate types #########################

########################### Basic SSL request ##################################
[ req ]
default_bits            = 2048
default_keyfile         = privkey.pem
distinguished_name        = req_distinguished_name
req_extensions        = extensions
string_mask            = utf8only

[ req_distinguished_name ]
countryName            = Country Name (2 letter code)
countryName_default        = FI
countryName_min        = 2
countryName_max        = 2

0.organizationName        = Organization Name (eg, company)
0.organizationName_default    = Leivo.org

# get the DN name for the certificate
commonName            = Server FQDN
commonName_max        = 64

[ extensions ]
basicConstraints         = CA:FALSE
keyUsage             = critical, keyEncipherment, digitalSignature
extendedKeyUsage        = serverAuth
#subjectAltName         = @alt_names

[alt_names]
#IP.1 = 192.168.8.3        # Invalid according to CA/B forum
#DNS.2 = homeserver        # Invalid according to CA/B forum
#DNS.1 = home.leivo.org

######################### End basic SSL request ################################

CA hörskymään

Kun pohjatyöt ja konfiguraatiotiedosto on kohdallaan jäljelle jää enää CRL:n jatkuva julkaisu ja OCSP:n laittaminen päälle.

Auta toista

Pyöräilin keskiviikkoiltana yhdentoistamaissa kohti kotia, kun näin miehen makaamassa lumihangessa kävelytien reunalla. Pysähdyin ja kysyin onko kaikki OK? Hän päästyään pystyyn totesi suomalaiseen äijätyyliin, että hän on ihan kunnossa. Katsoessani miestä totesin hänen olevan vanhempi herrasmies ja “hyvässä maistissa”. Hyppäsin pois pyörän päältä ja kysyin kävisikö hänelle jos kävelen hänen kanssa kotiin. Hän hyväksyi tarjoukseni ja otin hänet käsikyykkään. Kävelimme 15-20 minuuttia hänen asunnolleen jutellen niitä näitä. Matkan aikana hän kyseli minulta “Mitä minä saan tästä?”, johon minä vastasin “Jos tilanne on koskaan toisinpäin, toivon että joku auttaa minua”. Hän matkan aikana toisti monesti “Olet hyvä ihminen”. Minulle myös paljastui että hän on lopulta vain pikkujoulujen uhri Smile.

Iltani kohokohta oli se hetki kun pääsimme hänen kerrostalon rappuun ja hän sai oven auki. Hän otti kasvoistani kiinni ja kiitti minua vielä kerran kertoen minulle kuinka hyvä ja harvinainen ihminen olen. Tuo toisen ihmisen kiitollisyys lämmitti sydäntäni valtavasti ja jää mieleeni pitkäksi aikaa. Tuon vuoksi kirjoitin tämän blogiviestin. Tahdon muille yhtä mahtavan fiiliksen! Auttakaa toista ihmistä, jos se vaan suinkin on mahdollista, se tunne auttamisen jälkeen on sanoinkuvaamaton.

PKI ratkaisun rakenne

Ennen kuin aloin sub CA:n kanssa työstämään ihan mahdottomasti, mietin hetken systeemin rakennetta.

Palvelin näkökulmaPKI ratkaisun rakenne

5 palvelinta:

– Juuri CA pääasiassa sammuksissa

– CRL palvelin, jonne kaikki CA:t julkaisee CRL:nsä. Tämä on normaali WEB palvelin.

– Sub CA, päällä oleva CA, jota voidaan käyttää varmenteiden allekirjoittamiseen

– RA palvelin, CA:n suoja, tähän loppukäyttäjät ottaa yhteyttä anoakseen varmenteita

– OCSP palvelin, tämä on CRL:lle rinnakkainen palvelu, se kertoo yksittäisen varmenteen statuksen pyydettäessä.

En vaivaudu rakentamaan RA:ta. Olen itse ainut systeemini asiakas. Se tarkoittaa että vain kolme palvelinta tarvii olla päällä. Todellisuudessa CRL ja OCSP mahtuu hyvin samalle koneelle, joten DNS aliaksia kehiin vaan. Näin saadaan aikaan että lopulta tarvitaan vain 2 konetta, sub CA ja hylkäysdataa ylläpitävä palvelin. Sub CA:n tulisi sijaita verkon syvimmässä nurkassa, karmean suojauksen takana, mutta valitettavasti sisäverkkoni on lättänä tällä hetkellä – asia mikä pitää korjata jossain vaiheessa. Kotikäytössä lopulta kaikki roolit voisivat olla samalla koneella…

PKI hierarkia

Luonnollisesti systeemissä on läjäpäin allekirjoitettuja varmenteita. Niiden luottorakenne menee näin.

PKI ratkaisun allekirjoitukset

Tästä rakenteesta meillä on toteutettuna jo Root CA ja sub CA. Seuraavaksi kartoitin mitä varmenteita tulen myöntämään sub CA:lta. Ilmiselviä on

  • OCSP varmenne
  • SSL palvelimen varmenne
  • SSL asiakkaan varmenne

tällä pohjalla päästään varmasti eteenpäin, joten seuraavaksi Sub CA:n konfiguroiminen.

OpenSSL ja CA:n luominen

Netistä saa metsästää oikein urakalla, että saa tarvittavat palaset CA:n luomiseen OpenSSL:llä. Peruspaketista löytyy kyllä CA:n konffis, mutta se on mielestäni ihan päin mäntyä. Minä tein CA:n omien tietämysteni ja CA/B forumin ohjeisiin pohjaten. Tällä päästään ratkaisuun, jonka pitäisi kantaa pitkälle.

Mietittävää

Avaimen koko: 1024 ei ole enää suositeltu CA:n avaimen koko (ref:NIST 800-57, part 3), 2048 riittää nykytietämyksen mukaan, 4096 on “varma”
Avaimen salasana: kaksi piippuinen juttu. Täysin automatisoitua CRL:n luontia varten salasana pitää syöttää skripteihin, joten kotionline CA:n avainta ei ehkä kannata salata. Toisaalta jos salasanaan menee, oleellista on valittu salausalgoritmi ja salasanan pituus. AES-128 bittinen vaatii kaveriksieen 23 merkkiä pitkän salasanan (a-z,A-Z,0-9 aakkosto), jotta salasana olisi yhtä vahva kuin  algoritmi. 25 vuotta voimassa oleva avain kaipaa järeämpää salausta ja vastaavasti useita kymmeniä merkkejä pitkän salasanan.
Allekirjoitusalgoritmi: MD5 on heikko, eikä suositeltava. SHA1 on yhtä vahva kuin 1024 bittinen avain. SHA256 on 2048:n kanssa oikea pari. Huomioitavaa on että SHA256 ei ole kaikkien vempainten tukema. Esimerkiksi 2010 vuoden Tomato firmwaressa oleva OpenVPN ei tue SHA256:sta. Vanhat älypuhelimet, eivät välttämättä tue ja näin lista jatkuu.

Nämä asiat kun on mietittynä lähdetään CA:n luontiin.

Pohjatyöt

Tarvitsemme OpenSSL:n  valitsemallemme käyttikselle. Linuxien tapauksessa pakettienhallinnasta löytyy, Windowsin tapauksesta täältä löytyy.
Seuraavanlainen hakemisto rakenne on tarpeen

/LeivoCA 
  |-/certs 
  |-/newcerts 
  |-/crl 
  |-/private

CA:n juurihakemistosta (/LeivoCA) pitää löytyä seuraavat tiedostot

index.txt 
index.txt.attr 
serial (tämän tiedoston sisältä pitää löytyä sarjanumero hex-muodossa, joten laita sinne vaikka 01) 
crlnumber (tämän tiedoston sisältä pitää löytyä sarjanumero hex-muodossa, joten laita sinne 00)

Hakemistoihin oikat pitää rajata hyvin hyvin tiukaksi. Root tai Administrator pääsy on ainut hyväksyttävä pääsy, jos kokee että CA:ta tulee ajaa jollain muulla tunnuksella, sille tarpeelliset oikat. Näiden käyttäjien oikeuksien lisäksi mitään muita oikeuksia hakemistoihin ei tule olla.

Konfiguraatiotiedosto

Tässä on konffitiedosto paloiteltuna osiin. Tämä konfiguraatiotiedosto on tarkoitettu vain juuriCA:lle. Varsinaisen tiedoston löydät täältä.

Tässä osuudessa määritellään kotihakemisto ja tiedostojen sijainti. Korjaa hakemistot täsmäämään tarpeisiisi.

# 
# OpenSSL configuration for Leivo Root 
#
# This definition stops the following lines choking if HOME isn't 
# defined. 
HOME            = . 
RANDFILE        = $ENV::HOME/.rnd
#################################################################### 
[ ca ] 
default_ca    = Leivo_Root        # The default ca section
############################# Defining CA ###################################### 
[ Leivo_Root ]
dir        = d:/temp/testCA    # Where everything is kept 
certs        = $dir/certs        # Where the issued certs are kept 
crl_dir        = $dir/crl        # Where the issued crl are kept 
database    = $dir/index.txt    # database index file. 
new_certs_dir    = $dir/newcerts        # default place for new certs.
certificate    = $dir/Leivo_Root.pem    # The CA certificate 
serial        = $dir/serial         # The current serial number 
crlnumber    = $dir/crlnumber    # the current crl number 
crl        = $dir/crl.pem         # The current CRL 
private_key    = $dir/private/root-ca.key # The private key 
RANDFILE    = $dir/private/.rand    # private random number file 
string_mask    = utf8only

######################## End of defining CA ####################################

Tässä osuudessa määritellään yleisesti ottaen varmenteen allekirjoittamiseen liittyvät palaset. Laajennukset, nimeämiskäytännöt, CRL voimassaolo aika, allekirjoitusalgoritmi.

#################### Defining certificate signing ############################## 
x509_extensions    = v3_ca        # The extentions to add to the cert 
name_opt     = ca_default        # Subject Name options 
cert_opt     = ca_default        # Certificate field options
crl_extensions    = crl_ext
default_days    = 3650            # how long to certify for 
default_crl_days= 365             # how long before next CRL 
default_md    = sha256        # use public key default MD 
preserve    = no            # keep passed DN ordering
policy        = policy_match
# For the CA policy 
[ policy_match ] 
countryName        = match 
organizationName    = match 
commonName        = supplied 
emailAddress               = optional

################## End of defining certificate signing #########################

Tämän osuuden jälkeen määritellään laajennukset. Tässä tulee se varsinainen pihvi varmenteille.

v3_ca_root –osuus määrittelee juurivarmenteen. Olen rajannut juuren alla olevien CA:n määrän yhteen (pathlen:1)

v3_ca –osuus on subCA:lle tarkoitettu osuus.  Pathlen on 0, sillä subCA:lla ei voi alla olevia CA:ta. SubCA:lle on myös määritelty CRL, mikä on juuriCA:n CRL.

[ crl_ext ] 
  authorityKeyIdentifier    = keyid:always
[ v3_ca_root ] 
  subjectKeyIdentifier        = hash 
  authorityKeyIdentifier    = keyid:always,issuer 
  basicConstraints         = CA:true, pathlen:1 
  keyUsage             = cRLSign, keyCertSign, digitalSignature
[ v3_ca ] 
  subjectKeyIdentifier        = hash 
  authorityKeyIdentifier    = keyid:always,issuer 
  basicConstraints         = critical, CA:true, pathlen:0 
  crlDistributionPoints     = URI:http://crl.leivo.org/Rootca-crl.pem
########################### Basic SSL request ################################## 
[ req ] 
  default_bits        = 2048 
  default_keyfile     = privkey.pem 
  distinguished_name    = req_distinguished_name 
  req_extensions    = extensions 
  string_mask        = utf8only
[ req_distinguished_name ] 
countryName            = Country Name (2 letter code) 
countryName_default        = FI 
countryName_min            = 2 
countryName_max            = 2
0.organizationName        = Organization Name (eg, company) 
0.organizationName_default    = Leivo.org
# get the DN name for the certificate 
commonName            = Server FQDN 
commonName_max            = 64
[ extensions ] 
  subjectKeyIdentifier        = hash 
  basicConstraints         = critical,CA:true, pathlen:0 
  keyUsage             = cRLSign, keyCertSign, digitalSignature

######################### End basic SSL request ################################

Juuren, sub:n ja CRL:n luonti

Juuren avaimen luonti

openssl genrsa -aes256 -out testCA\private\root-ca.key 4096

Juuren itse itsensä allekirjoittaminen

openssl req -new -x509 -days 9125 -key testCA\private\root-ca.key -out testCA\Leivo_Root.pem -extensions v3_ca_root -sha256 -config testca.cnf

CRL:n luominen

openssl ca -config testca.cnf -gencrl -out testCA\crl\Rootca-crl.pem

SubCA:n luonti

openssl req -out subca.csr -pubkey -new -keyout subca.key -config testca.cnf

SubCA:n allekirjoittaminen

openssl ca -config testca.cnf -extensions v3_ca -out subca.crt -infiles subca.csr

Juuren sammuttaminen

Lopuksi kopioidaan koneelta ulos

  • Leivo_Root.pem (JuuriCA:n varmenne)
  • Rootca-crl.pem (JuuriCA:n CRL)
  • subca.key (SubCA:n privaattiavain, TÄMÄ SIIRRETÄÄN, ei kopioida!)
  • subca.crt (SubCA:n varmenne)

Ja näin, iso työ on tehty. Seuraavaksi subCA:n konffaus, ensimmäiset SSL varmenteet, automaattinen CRL julkaisu ja muu työ.