Vygenerujte certifikát ECC na Ubuntu 14.04

Elliptic Curve Cryptography (zkráceně ECC) je asymetrický pár klíčů, který se používá pro šifrování a dešifrování dat. ECC nabízí oproti RSA několik výhod. Klíče ECC mají menší velikost a zároveň poskytují zabezpečení ekvivalentní zabezpečení RSA – snižují potřebné zdroje a poskytují lepší výkon pro mediální aplikace, připojení VPN a mnoho dalších aplikací využívajících šířku pásma. Tento článek vám ukáže, jak vytvořit certifikát EEC s vlastním podpisem na Ubuntu 14.04. Tento článek také funguje na mnoha dalších distribucích Linuxu, které mají nainstalované OpenSSL.

Aktualizovat systém

Chcete-li zajistit, aby vše fungovalo dobře, je nejlepší aktualizovat systém tak, aby používal nejnovější a nejstabilnější dostupný software. Spusťte následující příkazy:

apt-get update
apt-get dist-upgrade

Vygenerujte soukromý klíč ECC

Budeme generovat soukromý klíč pomocí křivky prime256v1 ECC.

openssl ecparam -out private.key -name prime256v1 -genkey

Vygenerovat žádost o certifikát

Nyní použijte OpenSSL k vygenerování CSR (Certificate Signing Request) pro podepsání certifikátu. Vygenerujeme CSR s 512bitovým SHA2. Všimněte si, že se doporučuje používat 256bitové nebo lepší. SHA-1 se již nedoporučuje používat a brzy bude ukončena. SHA-1 již také nebudou akceptovány CA (certifikačními autoritami).

openssl req -new -key private.key -out certificate.csr -sha512

Zobrazí se vám seznam polí, která je třeba vyplnit. Pokud používáte doménu, ujistěte se, že Common Nameje nastaveno na toto doménové jméno. Pole 'extra' attributesmůže zůstat prázdné.

Vytvořte a podepište certifikát

Nyní vytvoříte a podepíšete svůj certifikát z CSR, který jste vytvořili dříve.

openssl x509 -req -days 365 -in certificate.csr -signkey private.key -out certificate.crt -sha512

Pokud nedojde k žádné chybě, pak jste úspěšně vytvořili certifikát ECC.

Poznámka k veřejnému použití

Pokud chcete certifikát používat veřejně nebo v produkci, pak se doporučuje předat CSR vaší CA, aby vám vydala podepsaný certifikát. Také mějte na private.keytajném a bezpečném místě na vašem serveru. Ujistěte se, že soubor má oprávnění pouze pro čtení. Pokud klíč ztratíte, budete muset znovu vytvořit klíč a CSR, aby vám byl vystaven nový certifikát.