Для улучшения работы сайта мы используем файлы cookies. Оставаясь на сайте, вы соглашаетесь с политикой обработки персональных данных.

Выпуск самоподписанного сертификата

1. Создание корневого сертификата (CA)

Ниже описано, как создать корневой сертификат с помощью OpenSSL.

  1. Создайте закрытый ключ корневого сертификата с помощью команды:

    openssl genrsa -out ca.key 4096
  2. Создайте корневой сертификат на основе закрытого ключа с помощью команды:

    openssl req -new -x509 -days 365 -key ca.key -out ca.cert.pem

    При появлении запроса введите пароль для закрытого ключа и сведения об организации, такие как страна или регион, штат, организация, подразделение и FQDN.

    Результат:

    • ca.key — закрытый ключ корневого сертификата;

    • ca.cert.pem — корневой сертификат.

2. Создание сертификата сервера

Ниже описано, как создать сертификат сервера с помощью OpenSSL.

  1. Создайте закрытый ключ сертификата сервера с помощью команды:

    openssl genrsa -out server.key 4096
  2. Создайте запрос на подпись сертификата на основе закрытого ключа с помощью команд:

    openssl req -new -key server.key -out server.csr -addext "subjectAltName = DNS:broker.example.com"
    openssl x509 -req -days 365 -in server.csr -CA ca.cert.pem -CAkey ca.key -CAcreateserial -out server.crt -extfile <(printf "subjectAltName=DNS:broker.example.com")

    При появлении запроса введите пароль для корневого ключа и сведения об организации, такие как страна или регион, штат, организация, подразделение и FQDN. CN должно соответствовать DNS-имени сервера, например broker.example.com.

  3. Выпустите сертификат на основе ранее сформированного запроса с помощью команды:

    openssl x509 -in server.crt -text -noout -ext subjectAltName

    Результат:

    • server.key — закрытый ключ для сертификата сервера;

    • server.crt — сертификат сервера.

  4. Импортируйте ключ и сертификат в настройках HTTPS.