Самостоятельная генерация сертификата с использованием OpenSSL

Подготовка

  1. Заходим на http://slproweb.com/products/Win32OpenSSL.html
  2. Выбираем версию OpenSSL для загрузки, битность - соответствующая битности на компьютере.
  3. Загружаем OpenSSL на компьютер и устанавливаем его. В процессе установки указываем и запоминаем путь до OpenSSL.

Генерация сертификата

Пусть путь до OpenSSL будет у нас по умолчанию - C:\Program Files\OpenSSL-Win64\

Если у вас другой путь - указывайте его.

Открываем консоль от имени администратора и выполняем в ней следующие шаги:

1. Перемещаемся в директорию с OpenSSL

cd C:\"Program Files"\OpenSSL-Win64\bin\
2. Генерируем приватный ключ длиной в 2048 бит и сохраняем его в файл

C:\cert\private.key

openssl genrsa -des3 -out C:\cert\private.key 2048

При генерации приватного ключа OpenSSL попросит создать пароль для приватного ключа. Вводим его и запоминаем - он в дальнейшем нам ещё понадобится.

3. Создаём «запрос» на получение CSR сертификата.

openssl req -new -key C:\cert\private.key -out C:\cert\certificate_csr.csr

OpenSSL попросит ввести нас пароль от нашего приватного ключа (который мы создавали на втором шаге). Вводим его и нажимаем Enter. Обратите внимание - пароль не будет отображаться в консоли (скрытый ввод), поэтому вводим его внимательно.

Дальше OpenSSL попросит у нас ввести информацию о сертификате, как показано ниже:

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:RU  # Двузначный код страны, RU для России
State or Province Name (full name) [Some-State]:Moscow  # Город, в котором вы находитесь
Locality Name (eg, city) []:city  # Можно оставить пустым или вписать city
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Robin  # Название вашей организации
Organizational Unit Name (eg, section) []:section  # Название подразделения
Common Name (e.g. server FQDN or YOUR name) []:Robin  # На кого регистрируют этот сертификат
Email Address []:test@it.ru  # Электронная почта компании

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:Qwerty123  # Дополнительный пароль
An optional company name []:Robin  # Дополнительное имя компании

После ввода всей информации у нас будет сгенерирован CSR-сертификат, расположенный в C:\cert\certificate_csr.csr.

4. Дальше у нас есть два пути развития событий.

Мы можем либо отдать сертификат на подписание в сертификационный центр, либо подписать его самостоятельно.

4.1. В случае, если мы подписываем сертификат самостоятельно - мы генерируем публичный PEM-сертификат из того, что у нас есть, сроком на год (365 дней, число можно изменить), следующей командой.

openssl x509 -req -days 365 -in c:\cert\certificate_csr.csr -signkey c:\cert\private.key -out c:\cert\certificate_pem.pem

OpenSSL запросит пароль от приватного ключа, вводим его.

Если мы подписали сертификат самостоятельно - выполняем преобразование PEM в CER:

openssl x509 -outform DER -in c:\cert\certificate_pem.pem -out c:\cert\certificate_cer.cer

4.2. В случае, если мы подписываем с помощью сертификационного центра, мы отправляем CSR-файл - запрос на подпись сертификата - в сертификационный центр. Выбираем шаблон сертификата Web Server. Обратно нам должен вернуться уже подписанный CER-сертификат.

5. Затем мы преобразуем CER в CRT - формат сертификата, понятный хранилищу сертификатов.

openssl x509 -inform DER -in c:\cert\certificate_cer.cer -out c:\cert\certificate_crt.crt

6. Создаём PFX-контейнер для сертификата. PFX-контейнер нужен для того, чтобы свободно переносить сертификат вместе с приватным ключом на флешке или любом другом носителе.

openssl pkcs12 -export -inkey C:\cert\private.key -in C:\cert\certificate_crt.crt -out C:\cert\certificate.pfx

Или p12-контейнер

openssl pkcs12 -export -inkey C:\cert\private.key -in C:\cert\certificate_crt.crt -out C:\cert\certificate.p12

OpenSSL попросит ввести пароль от приватного ключа и создать пароль для экспорта контейнера.