Kreiranje self signed certifikatov

Prebral sem https://www.feistyduck.com/books/openss..., https://jamielinux.com/docs/openssl-cer... in še nekaj drugih forumov/blogov na temo OpenSSL in certifikatov.
Vsaka knjiga/članek opisuje drugačen pristop do kreiranja certifikatov (razliko sem opazil predvsem v config datotekah) in je rahlo konfuzno.

V nekaj temah na forumu sem opazil, da nekateri uporabljate self signed certifikate in me zanima, kakšen pristop uporabljate.
Kako najlažje in seveda varno na Linux sistemu kreirati in vzdrževati self signed certifikate? Obstaja kakšen namenski program ali je najbolje/najlažje prek terminala z uporabo config datotek?

Vaseer je 15. sep 2019 ob 17:35 izjavil:

V nekaj temah na forumu sem opazil, da nekateri uporabljate self signed certifikate in me zanima, kakšen pristop uporabljate.

IMO se je to pretežno nehalo z ustanovitvijo https://letsencrypt.org/

Kakšno leto nazaj sem kreiral Root CA in nekaj certov za https - lokalni dostop do WebUI NAS-a in OPNsense-a, ter javni https za Nextcloud. Dostop do Nextcloud imam urejen prek 2 poddomen. Na eni imam Let's Encrypt cert, na drugi self signed cert.
Self signed cert za Nextcloud poddomeno mi čez nekaj mesecev poteče in bom moral kreirati novega.

Ker sem to nazadnje počel slabo leto nazaj, mi je v spominu ostalo mogoče 30% postopka. Imam zapiske kako in kaj, ampak mi bo še vedno vzelo nekaj časa, da vse skupaj ponovno naštudiram.
Poizvedujem kako to izvajate ostali, ker običajno obstajajo enostavnejši postopki kot pa si jih zamislim sam

V planih je tudi razširitev uporabe na VPN in Wifi (predvsem za namene učenja), za kar sem si zamislil sledečo strukturo:
-Root CA
--Intermediate CA za Web (https)
---Certi za serverje/userje
--Intermediate CA za VPN
---Certi za serverje/userje
--Intermediate CA za Wifi
---Certi za serverje/userje
--Intermediate CA za ...

Obstaja kakšen program, ker imaš možnost vnosa podatkov in ti potem program na podlagi vnesenih podatkov kreira cert oz. generira config file?

Poldi112 je 15. sep 2019 ob 18:58 izjavil:

Za avtentikacijo klientov še vedno prav pridejo.

Potem pa praviloma niso self-signed, ampak imaš to, kar je prilepil karafeka.

+1, uporabljam že leta.

Vaseer je 15. sep 2019 ob 17:35 izjavil:

Prebral sem https://www.feistyduck.com/books/openss..., https://jamielinux.com/docs/openssl-cer... in še nekaj drugih forumov/blogov na temo OpenSSL in certifikatov.
Vsaka knjiga/članek opisuje drugačen pristop do kreiranja certifikatov (razliko sem opazil predvsem v config datotekah) in je rahlo konfuzno.

V nekaj temah na forumu sem opazil, da nekateri uporabljate self signed certifikate in me zanima, kakšen pristop uporabljate.
Kako najlažje in seveda varno na Linux sistemu kreirati in vzdrževati self signed certifikate? Obstaja kakšen namenski program ali je najbolje/najlažje prek terminala z uporabo config datotek?

Jaz uporabljam openssl. Oneliner:

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes

Popolnoma nič. :)

jype je 17. sep 2019 ob 07:15 izjavil:

Vaseer je 17. sep 2019 ob 00:08 izjavil:

Linux distribucijo na prenosnika brez mrežne povezave?

To je osnovni element dobre prakse. Odkar so stari prenosniki praktično zastonj, je v resnici nesmiselno, da tega ne bi počel že zato, da se na tako početje privadiš.

+1

Navaditi se moraš =)

OpenSSL, tega uporabim svežega, na Linux-u za enkratno uporabo. Od neke verzije openssl-a naprej sta še kreiranje subject alternative name in extended key usage mala malica, enovrstično.