Search:

Протокол SSL

PEM-->DER openssl x509 -inform PEM -in cert.pem
-outform DER -out cert.cer

DER-->PEM openssl x509 -inform DER -in cert.cer
-outform PEM -out cert.pem

Таким же образом можно конвертировать и ключи асимметрического шифрования (используя утилиты rsa или dsa).

Думаю, что не сильно запутал вас всеми этими стандартами. Если объяснять на пальцах, то все выглядит следующим образом: клиент создает сертификат и отправляет свой публичный сертификат (PKCS#7) в центр сертификации. В центре сертификации обрабатывается запрос клиента (запрос на сертификацию), и сертификат клиента подписывается секретным ключом центра сертификации. Клиент, имея публичный ключ центра сертификации, проверяет подлинность подписи и может далее использовать свой сертификат. Для организации можно предложить следующее решение: на сервере создается сертификат организации; генерируется запрос на сертификацию и отправляется к некоему доверенному центру сертификации (который будет известен всем клиентам и персоналу данной организации); получается сертификат организации, который можно использовать при создании сертификатов клиентов. Последние создаются так: клиент посылает запрос на выдачу сертификата; сервер создает сертификат клиента и подписывает его сертификатом организации; клиент получает сертификат клиента и сертификат организации; после проверки достоверности ключа организации (предполагается, что клиент доверяет CA, которым был подписан сертификат организации) проверяется достоверность сертификата клиента. После такой операции клиент будет точно уверен, что получил сертификат от данной организации, и может его использовать для работы с ней. По такой схеме построены все центры выдачи сертификатов(правда зачастую сертификат организации бывает подписан самим собой, что требует от клиента добавить сертификат организации к доверенным, а в первой схеме сертификат организации принадлежит к группе промежуточных центров сертификации, и этот случай предпочтительнее с точки зрения безопасности и удобства клиента, но требует больше работы от администратора). Да, хорошенькое объяснение на пальцах! Но что тут поделать: сертификаты — это довольно запутанная вещь. Сейчас я объясню, как создавать сертификаты с помощью openssl, и приведу пример только что описанного безобразия…

Для создания сертификата используется инструмент openssl req. Он имеет довольно много параметров, поэтому, чтобы не парить мозги, я просто приведу пару примеров его использования. Для начала требуется конфигурационный файл, который имеет следующий формат(все строки, начинающиеся с # — это мои комментарии, в конечном файле их может и не быть):

[ req ]
# Секция основных опций
default_bits = 2048
# Число бит
default_keyfile = keyfile.pem
# Имя ключа, используемого для сертификата
distinguished_name = req_distinguished_name
# DN организации, выдавшей сертификат
prompt = no
# Брать параметры из конфига неинтерактивный режим
[ req_distinguished_name ]
# DN организации
CN=RU
# Страна
ST=Ivanovskaya
# Область
L=Gadukino
# Город
O=Krutie parni
# Название организации
OU=Sysopka
# Название отделения
CN=Your personal certificate
# Имя для сертификата (персоны, получающей сертификат)
emailAddress=certificate@gaduk.ru
# Мыло организации

Если не указывать prompt no, то значения для параметров будут считаны в интерактивном режиме (то бишь с клавиатуры), а значения параметров будут являться подсказками при вводе данных. При интерактивном режиме можно указывать значения по умолчанию, а также минимальное и максимальное значения для параметров (для строковых параметров устанавливается ограничение на длину). В таком случае общий формат параметра таков:

имя = подсказка
имя_default = значение_по_умолчанию
имя_max = максимум
имя_min = минимум

Перейти на сторінку номер:
 1  2  3  4  5  6  7  8  9  10  11  12  13 


Подібні реферати:

Криптопротокол S-HTTP

Зміст Вступ Загальна характеристика Робота по протоколу S-HTTP HTTPS-проксі Порядок використання сертифікованого Web-сервера системи Основні поняття комп’ютерної безпеки Класифікація комп’ютерних атак Атаки, що використовують помилки реалізації служб мережі Атака через WWW Проблеми стосовно мережі Internet Методи захисту від віддалених атак в мережі Internet Формування запитів до сертифікованого центра Допомога. Безпечне з’єднання. Висновок Список використаної літератури Вступ У ...

Діалогові програми

План. Уведення даних. Виведення даних. Формати виведення. Імітація діалогів. Коментарі. Література. Я.М. Глинський Інформатика. Алгоритмізація і програмування. Книжка 1. 1. Уведення даних. Надати значення змінним можна за допомогою команди присвоєння. Такий спосіб найпростіший, однак не найкращий, оскільки програми від цього стають не універсальними (немасовими). Ось чому в усіх алгоритмічних мовах використовують принцип уведення даних у пам’ять за допомогою команди введення даних. Команда введення даних має вигляд: ...

Цифрові графічні моделі в комп’ютерній графіці

Існує два принципово різних підходи до цифрового кодування графіки. Перший полягає в наближеному відтворенні графічного зображення за допомогою великої кількості дискретних елементів зображення - пікселів. Одержані в такий спосіб зображення називають растровими - від слова растр: горизонтальна лінія пікселів. Звичайно растрові зображення створюються автоматично шляхом цифрового кодування фотографій, малюнків, інших оригіналів. Другий спосіб полягає у визначенні геометричних фігур, з яких складається зображення, за допомогою ...