Пользовательский конфигурационный файл ssh

Генерация приватного ключа

Для генерации приватного ключа при помощи openssl необходимо использовать команду openssl genpkey:

openssl genpkey \
-algorithm RSA \
-pkeyopt rsa_keygen_bits:2048 \
-aes-128-cbc \
-out pkey.key

Используещиеся опции: - algorithm - выбор алгоритма шифрования (в данном случае RSA) - pkeyopt - параметры используещиеся для генерации (здесь количество бит в генерируемом ключе) - aes-128-cbc - стандарт шифрования, позволяет усилить защиту ключа - out - выходной файл для ключа

На выходе получаем файл pkey.key с ключем внутри.

Так как RSA это алгоритм с открытым ключем то мы можем получить публичный ключ отдельно из сгенерированного файла при помощи openssl pkey:

openssl pkey -in pkey.key -pubout -out pubkey.key

Использующиеся опции: - in - файл для чтения (pkey.key) - pubout - получить только публичный ключ - out - выходной файл для ключа

Публичный ключ будет сохранен в pubkey.key.

Создание запроса на подпись сертификата (Certificate Signing Requests)

Как только вы сгенерировали приватный ключ вы можете создать так называемый запрос на подпись сертификата (SCR). Он позволяет центру сертификации (Certification authority, CA) выпустить сертификат со своей подписью и публичным ключем, а также дополнительной информацией о владельце публичного ключа. SCR всегда подписывается приватным ключем соотетствующим публичному ключу для которого необходим сертификат.

Создание запроса выполняется командой openssl req. В ходе выполнения команды будет предложено ввести информацию о сущьности для которой будет запрашиваться сертификат:

openssl req -new -key pkey.key -out req.csr

Использующиеся опции: - new - опция указывающая что необходимо сгенерировать новый запрос на подпись сертификата. - key - приватный ключ пользователя - out - выходной файл