Створіть сертифікат ECC в Ubuntu 14.04

Криптографія з еліптичною кривою (скорочено ECC) — це асиметрична пара ключів, яка використовується для шифрування та дешифрування даних. ECC має кілька переваг перед RSA. Ключі ECC мають менший розмір, водночас забезпечуючи безпеку, еквівалентну захищеності RSA – зменшуючи необхідні ресурси та забезпечуючи кращу продуктивність для медіа-програм, VPN-з’єднань та багатьох інших програм із пропускною здатністю. Ця стаття покаже вам, як створити самопідписаний сертифікат EEC в Ubuntu 14.04. Ця стаття також працює з багатьма іншими дистрибутивами Linux, у яких встановлено OpenSSL.

Система оновлення

Щоб переконатися, що все працює добре, найкраще оновити систему, щоб використовувати найновішу та найстабільнішу програму. Виконайте такі команди:

apt-get update
apt-get dist-upgrade

Створити закритий ключ ECC

Ми будемо генерувати закритий ключ за допомогою кривої ECC prime256v1.

openssl ecparam -out private.key -name prime256v1 -genkey

Сформувати запит на сертифікат

Тепер використовуйте OpenSSL, щоб створити CSR (запит на підписання сертифіката) для підписання сертифіката. Ми згенеруємо CSR з 512-бітним SHA2. Зауважте, що рекомендується використовувати 256-розрядну або кращу версію. SHA-1 більше не рекомендується використовувати і незабаром буде застарілий. SHA-1 також більше не буде прийматися CA (центрами сертифікації).

openssl req -new -key private.key -out certificate.csr -sha512

Він дасть вам список полів, які потрібно заповнити. Якщо ви використовуєте домен, переконайтеся, що Common Nameдля цього домену встановлено ім’я. 'extra' attributesМоже бути залишений порожнім.

Створити та підписати сертифікат

Тепер ви створите та підпишете свій сертифікат із CSR, який ви створили раніше.

openssl x509 -req -days 365 -in certificate.csr -signkey private.key -out certificate.crt -sha512

Якщо жодної помилки не виникає, значить, ви успішно створили сертифікат ECC.

Примітка про публічне використання

Якщо ви бажаєте використовувати сертифікат публічно або в робочому стані, то рекомендується передати CSR до свого центру сертифікації, щоб він видав вам підписаний сертифікат. Крім того, зберігайте його private.keyв таємному та безпечному місці на вашому сервері. Переконайтеся, що файл має права лише на читання. Якщо ви втратите ключ, вам доведеться повторно створити ключ і CSR, щоб отримати новий сертифікат.