Выпуск самоподписанного сертификата
1. Создание корневого сертификата (CA)
Ниже описано, как создать корневой сертификат с помощью OpenSSL.
-
Создайте закрытый ключ корневого сертификата с помощью команды:
openssl genrsa -out ca.key 4096 -
Создайте корневой сертификат на основе закрытого ключа с помощью команды:
openssl req -new -x509 -days 365 -key ca.key -out ca.cert.pemПри появлении запроса введите пароль для закрытого ключа и сведения об организации, такие как страна или регион, штат, организация, подразделение и FQDN.
Результат:
-
ca.key — закрытый ключ корневого сертификата;
-
ca.cert.pem — корневой сертификат.
-
2. Создание сертификата сервера
Ниже описано, как создать сертификат сервера с помощью OpenSSL.
-
Создайте закрытый ключ сертификата сервера с помощью команды:
openssl genrsa -out server.key 4096 -
Создайте запрос на подпись сертификата на основе закрытого ключа с помощью команд:
openssl req -new -key server.key -out server.csr -addext "subjectAltName = DNS:broker.example.com"openssl x509 -req -days 365 -in server.csr -CA ca.cert.pem -CAkey ca.key -CAcreateserial -out server.crt -extfile <(printf "subjectAltName=DNS:broker.example.com")При появлении запроса введите пароль для корневого ключа и сведения об организации, такие как страна или регион, штат, организация, подразделение и FQDN.
CNдолжно соответствовать DNS-имени сервера, например broker.example.com. -
Выпустите сертификат на основе ранее сформированного запроса с помощью команды:
openssl x509 -in server.crt -text -noout -ext subjectAltNameРезультат:
-
server.key — закрытый ключ для сертификата сервера;
-
server.crt — сертификат сервера.
-
-
Импортируйте ключ и сертификат в настройках HTTPS.