[OpenSSL/PowerShell] Как создать промежуточный сертификат?

Question

[Руслан]

Привет, Хабр!
Нужно дерево сертификатов (корневой -> промежуточный -> клиент).
Как создать корневой и сертификат клиента я разобрался, а вот промежуточный - нет.
Ниже прилагаю команды и конфиг.

Команды:

# корневой сертификат
.\openssl genrsa -out "root.key"
.\openssl req -x509 -new -nodes -key "root.key" -sha256 -days 1024 -out "root.crt" -config "cnf.cnf" -subj "/C=country/ST=state/L=city/O=corp/OU=unit/CN=name/emailAddress=name@domain"

# тут должен быть промежуточный...

# серверный
.\openssl genrsa -out "server.key"
.\openssl req -new -key "server.key" -out "server.csr" -config "cnf.cnf"
.\openssl x509 -req -in "server.csr" -CA "intermediate.crt" -CAkey "intermediate.key" -CAcreateserial -out "server.crt" -extensions v3_req -extfile "cnf.cnf" -subj "/C=country/ST=state/L=city/O=corp/OU=unit/CN=name/emailAddress=name@domain"

# экспортирую серверный сертификат
.\openssl pkcs12 -export -in "server.crt" -inkey "server.key" -out "server.p12" -password pass:"xxXX1234"

# клиента
.\openssl genrsa -out "client.key"
.\openssl req -new -key "client.key" -out "client.csr" -config "cnf.cnf"
.\openssl x509 -req -in "client.csr" -CA "intermediate.crt" -CAkey "intermediate.key" -CAcreateserial -out "client.crt" -extensions v3_req -extfile "cnf.cnf" -subj "/C=country/ST=state/L=city/O=corp/OU=unit/CN=name/emailAddress=name@domain"

# экспортирую всё
.\openssl pkcs12 -export -in "server.crt" -inkey "server.key" -in "client.crt" -inkey "client.key" -in "intermediate.crt" -inkey "intermediates.key" -in "root.crt" -inkey "root.key" -out out.p12 -password pass:"password"

Конфиг:

[ ca ]
default_ca = CA_default

[ CA_default ]
default_days = 36500
default_md  = sha256
preserve = no
email_in_dn  = no
nameopt = default_ca
certopt = default_ca
policy = policy_match

[ policy_match ]
commonName = supplied
countryName = optional
stateOrProvinceName = optional
organizationName = optional
organizationalUnitName = optional
emailAddress = optional

[ req ]
input_password = xxXX1234
prompt = no
distinguished_name  = kostil
default_bits = 2048
default_keyfile = priv.pem
default_md = sha256
req_extensions = v3_req
encyrpt_key = no

[ kostil ]
commonName = KOSTIL'

[ v3_ca ]
basicConstraints = CA:TRUE
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer:always

[ v3_req ]
basicConstraints = CA:FALSE
subjectKeyIdentifier = hash
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = $dns
IP.1 = $ip

Answer 1

[Руслан]

Команды:

write-output "01" | out-file -append -encoding ASCII "serial"
out-file -append -encoding utf8 "index"

.\openssl genrsa -out "intermediate.key"
.\openssl req -new -sha256 -config "cnf.cnf" -key "intermediate.key" -out "intermediate.csr" 
.\openssl ca -config "cnf.cnf" -extensions v3_intermediate_ca -days 2650 -batch -in "intermediate.csr" -out "intermediate.crt"

В конфиг добавить:

[ CA_default ]
certs = ./
serial = serial
database = index
new_certs_dir = ./
certificate = root.crt
private_key = root.key

[ v3_intermediate_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true, pathlen:0
keyUsage = critical, digitalSignature, cRLSign, keyCertSign
subjectAltName = @alt_names

Или воспользуйтесь скриптом:
https://p.sicp.me/dst6M

Answer 2

[MaxKozlov]

Не знаю, каким боком тут powershell, но гайдов в сети полно.
Вот, например
https://jamielinux.com/docs/openssl-certificate-au...
или покороче
https://dadhacks.org/2017/12/27/building-a-root-ca...

Comments

[Руслан]

Уважаемый, вы думаете, что я не гуглил? И павершелл я не просто так указал - команды в шиндоус и в линупсе отличаются.

[MaxKozlov]

Mitch Conner, Не знаю что именно Вы гуглили, но powershell в том что Вы понаписали - нет.
Чистый запуск openssl. вообще неважно откуда

Отличие с linux только в обратном слеше в ком. строке. да и это не обязательно

[Руслан]

MaxKozlov, павершел - среда, в которой я работаю. Я стараюсь указывать всё, чтобы было проще решить мою проблему. Я видел эти инструкции - они громоздкие. Мне нужно лаконичное решение. Корневой сертификат создаётся 2-3 командами, как и клиентский. Не думаю, что нельзя аналогично сделать промежуточный.

[MaxKozlov]

Mitch Conner, Уверен что можно, второй гайд рассказывает как - очень кратко. Главное - правильный конфиг.

Но тэг Powershell тут лишний, потому что команд powershell вы не используете.
btw, Вы ж не указали windows, хотя powershell есть и под линуксом

[Руслан]

MaxKozlov, вот такой прикол в шиндоусе у меня сделать не получается:
mkdir newcerts certs crl private requests
Ну и про павершелл в линупсе - я, конечно, ещё зелёный, но в линупсе есть же баш - кто там вообще павершелл использует и зачем? Ну и по .\openssl вполне понятно, что я работаю в винодоузе - указывать не было смысло.

[MaxKozlov]

Mitch Conner, Если подискутировать за различия и необходимость в шеллах - это можно в отдельной теме.
По вашему же вопросу PS не в кассу

А "прикол" - решается через минимальные изменения команды
mkdir newcerts,certs,crl,private,requests

[Руслан]

MaxKozlov, я не просто так написал в qna. Мне не нужны ссылки на иструкции - мне нужно, чтобы мне две команды засунули в нужное место и, может, ещё конфиг бы подправили. Всё. Мне не интересно разбираться в ОпенССЛ, подправлять команды, сидеть и думать, чойта не работает - я вставлю команды в скрипт и буду довольный запускать его по 10 раз на дню. ПаверШелл - среда, из которой я запускаю ОпенССЛ. Создание директорий, как минимум, отличается, как вы выше написали. Править потом у меня нет желания.

[MaxKozlov]

Mitch Conner, В таком случае помимо пункта 3.1 Правил Вам стоит внимательно изучить также пункт 5.12

[Руслан]

MaxKozlov, вам стоит перестать на себя так много брать. По поводу пункта правил 3.1 - команды в разных ЯП, внезапно, различаются. Создание директорий, работа с переменными, изменение конфигов. А по поводу 5.12 - это просто смешно. Процитируйте оскорбление, уважаемый.

Алсо, если вам по поводу решение вопроса больше нечего сказать - не отвлекайте меня. Спасибо.

[MaxKozlov]

Mitch Conner, 5.12. Задачи и задания.
Даже читать как следует не удаётся :)