Создаем локальный центр сертификации (CA) для выдачи сертификатов клиентам и серверам с помощью EasyRSA в РЕДОС Linux
В современном мире угрозы информационной безопасности вынуждают владельцев информационных систем использовать системы шифрования и криптографической защиты при организации доступа к своим ресурсам. Самой простой защитой является использование протокола HTTPS для доступа к сайтам и протокола SSH для доступа к серверам.
Чтобы повысить безопасность и повысить безопасность подключения к серверам по протоколу SSH, необходимо дополнительно использовать сертификаты. Очень часто в локальных сетях и на предприятиях используются локальные центры сертификации, но использование их для администрирования ЛВС не всегда удобно, практично или вообще возможно. К тому же не всегда необходимо использовать сертифицированные средства защиты для доступа ко всем серверам, особенно в закрытых или локальных сегментах сети.
Поэтому может возникнуть необходимость для создания отдельного центра сертификации для выдачи сертификатов серверам и пользователям, для подключения к ресурсам, которые не требуют для доступа систем защиты сертифицированной по ФСТЭК.
Сегодня мы рассмотрим установку и настройку локального центра сертификации (CA) на сервере РЕДОС Linux.
Установка необходимых пакетов
Установим нужные пакеты:
sudo dnf update
sudo dnf install opensslСоздаем пользователя для CA
Обратите внимание, это важно! Не используйте пользователя root для работы с CA. Для работы используйте специально созданного пользователя и все действия производите внутри его папки.
Добавим нового пользователя:
sudo useradd ca
sudo passwd caВойдем как пользователь ca, теперь каждый раз для работы с CA вы должны использовать команду:
sudo su caУстановка EasyRSA
Загрузим и распакуем последнюю версию:
sudo su ca
cd ~
wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.2.4/EasyRSA-3.2.4.tgz
tar xzvf EasyRSA-3.2.4.tgzСкопируем нужные файлы:
mkdir ~/ca
cp -r -f ./EasyRSA-3.2.4/* ~/caОбязательно запретим доступ кому-либо, кроме пользователя ca к папке
chmod -R 700 /home/ca/caПроверим версию
~/ca/easyrsa --versionEasyRSA Version Information
Version: 3.2.4
Generated: Wed Aug 27 07:28:22 CDT 2025
SSL Lib: OpenSSL 3.1.5 30 Jan 2024 (Library: OpenSSL 3.1.5 30 Jan 2024)
Git Commit: 84be9c631c1efb872ff8cc9f16b9af4e7f018af3
Source Repo: https://github.com/OpenVPN/easy-rsaЗапустим инициализацию центра сертификации:
cd ~/ca
./easyrsa init-pkiNotice
------
'init-pki' complete; you may now create a CA or requests.
Your newly created PKI dir is:
* /home/ca/ca/pki
Using Easy-RSA configuration:
* undefinedБудет создана папка:
/home/ca/ca/pkiСоздание корневого сертификата для CA
Для того, чтобы создать корневой сертификат, нам нужно указать его данные, для этого создадим файл:
cd ~/ca
touch ./varsОткроем файл для редактирования:
mcedit ./varsДобавим для него содержимое:
set_var EASYRSA_REQ_COUNTRY "RU"
set_var EASYRSA_REQ_PROVINCE "Magadan Region"
set_var EASYRSA_REQ_CITY "magadan"
set_var EASYRSA_REQ_ORG "AltuninVV"
set_var EASYRSA_REQ_EMAIL "admin@altuninvv.ru"
set_var EASYRSA_REQ_OU "it"
set_var EASYRSA_ALGO "ec"
set_var EASYRSA_DIGEST "sha512"Запустим создание корневого сертификата:
./easyrsa build-caUsing Easy-RSA 'vars' configuration:
* /home/ca/ca/vars
Enter New CA Key Passphrase:Введите пароль для CA, этот пароль нужен обязательно - вы будете его вводить при подписании запросов на сертификаты! Он защищает ваш центр сертификации, так что если злоумышленник и сможет заполучить копию файлов центра сертификации, то без пароля он ничего не сможет с ним сделать!
Confirm New CA Key Passphrase:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Common Name (eg: your user, host, or server name) [Easy-RSA CA]Введем
ALTUNINVV CACommon Name (eg: your user, host, or server name) [Easy-RSA CA]:ALTUNINVV CA
Notice
------
CA creation complete. Your new CA certificate is at:
* /home/ca/ca/pki/ca.crt
Build-ca completed successfully.
/home/ca/ca/pki/ca.crtТеперь мы можем посмотреть на сертификат самого CA для этого получим его содержимое:
cat /home/ca/ca/pki/ca.crt-----BEGIN CERTIFICATE-----
MIIB/zCCAYWgAwIBAgIUD6Gh45uJEpyTnO6wMW7YdBGl+CcwCgYIKoZIzj0EAwQw
FzEVMBMGA1UEAwwMQUxUVU5JTlZWIENBMB4XDTI1MTAwNjA2NTI1OVoXDTM1MTAw
NDA2NTI1OVowFzEVMBMGA1UEAwwMQUxUVU5JTlZWIENBMHYwEAYHKoZIzj0CAQYF
K4EEACIDYgAE/gT89rdYngQKCeoapNb7mdVkmdXG/Ad1bXn/upuROMs7QegZ2sjx
eg8i3ZcHCqj7BIYrJ/B6vnWfJ0lQyOVXNrmzRC6+asNQSgh+BksS+7sSw0KDeH5j
LPWHgnyM+ZAzo4GRMIGOMAwGA1UdEwQFMAMBAf8wHQYDVR0OBBYEFF6ZHsjMDSXP
gCJti1lHD87nWDp6MFIGA1UdIwRLMEmAFF6ZHsjMDSXPgCJti1lHD87nWDp6oRuk
GTAXMRUwEwYDVQQDDAxBTFRVTklOVlYgQ0GCFA+hoeObiRKck5zusDFu2HQRpfgn
MAsGA1UdDwQEAwIBBjAKBggqhkjOPQQDBANoADBlAjBTGBTfjvCXNLEOMw75zrRf
vHe45R3tHkvXk+qqgF9jj8BroX6dfCphgd3jxplUllICMQDNFIuHqq3pXbB/5K+S
25I9N6bGa9H4LTdo7PmKuVzNuugVtYAQ0T7b0IQap+HCaTc=
-----END CERTIFICATE-----Для наглядности мы используем Windows 10.Скопируем текст и вставим в файл ca.crt:
Откроем сертификат. У нас получится:
Сертификат для CA успешно создан.
Так же теперь давайте установим сертификат в список Доверенных корневых центров сертификации на ПК с Windows 10 где мы его позже будем тестировать.
Как это сделать я уже рассматривал в статье.
После установки, еще раз проверим свойства сертификата:
Теперь данный сертификат считается действительным.
Создание сертификатов для сервера
В прошлой статье мы рассмотрели создание самоподписанного сертификата для подключение к удаленному рабочему столу РЕОДОС Linux по протоколу RDP.
Давайте создадим такой же сертификат, но подписанный нашим CA.
Создаем запрос на сертификат
Чтобы создать сертификат нам сначала нужно создать запрос на сертификат. В процессе создания запроса будет создан закрытый ключ и установлен пароль для защиты закрытого ключа.
Создадим папку для запросов
cd ~/
mkdir req
cd reqДля каждого запроса будем создавать папки с именем сервера:
mkdir ~/req/srv1Создадим файл с настройками
cd ~/req
touch openssl.cnfДобавим содержимое:
mcedit ./openssl.cnf[ req ]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = v3_req
[ v3_req ]
keyUsage=critical,digitalSignature,keyEncipherment
extendedKeyUsage=critical,serverAuth,clientAuthЭтот файл будет содержать настройки по умолчанию для всех сертификатов.
Создадим запрос:
cd ~/req/srv1
openssl req -new -keyout private.key -out srv1-cert.req -config ../openssl.cnf -extensions v3_req -subj "/C=RU/ST=Magadan Region/L=Magadan/O=AltuninVV/CN=srv1.altuninvv.ru" Мы используем параметр:
-subj "/C=RU/ST=Magadan Region/L=Magadan/O=AltuninVV/CN=srv1.altuninvv.ru" Чтобы задать Common Name сертификата, это позволит нам в будущем автоматизировать процесс выдачи сертификатов!
Будут созданы файлы
srv1-cert.req
private.keyИмпортируем запрос на сертификат в CA
Чтобы наш запрос превратился в подписанный сертификат, нам нужно сначала добавить его в CA.
Запустим
cd ~/ca
./easyrsa import-req ~/req/srv1/srv1-cert.req srv1Using Easy-RSA 'vars' configuration:
* /home/ca/ca/vars
Notice
------
Request successfully imported with short-name: srv1
This request is now ready to be signed.Запрос был успешно импортирован
Если вы захотите перевыпустить сертификат вам придется сначала или отозвать старый сертификат!
Подписываем запрос на сертификат для сервера в CA
Для генерации сертификата он должен быть подписан CA, таким образом формируется цепочка доверия и CA своей подписью подтверждает, что сертификат действителен!
Запустим
./easyrsa --subject-alt-name='DNS:srv1.altuninvv.ru,IP:192.168.1.44' sign-req server srv1 Using Easy-RSA 'vars' configuration:
* /home/ca/ca/vars
Please check over the details shown below for accuracy. Note that this request
has not been cryptographically verified. Please be sure it came from a trusted
source or that you have verified the request checksum with the sender.
You are about to sign the following certificate:
Requested CN: 'srv1.altuninvv.ru'
Requested type: 'server'
Valid for: '825' days
subject=
countryName = RU
stateOrProvinceName = Magadan Region
localityName = Magadan
organizationName = AltuninVV
commonName = srv1.altuninvv.ru
X509v3 Subject Alternative Name:
DNS:srv1.altuninvv.ru,IP:192.168.1.44
Type the word 'yes' to continue, or any other input to abort.
Confirm requested details:Введем yes и нажмем Enter:
Using configuration from /home/ca/ca/pki/2a442c5c/temp.03
Enter pass phrase for /home/ca/ca/pki/private/ca.key:Введем пароль от CA:
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName :PRINTABLE:'RU'
stateOrProvinceName :ASN.1 12:'Magadan Region'
localityName :ASN.1 12:'Magadan'
organizationName :ASN.1 12:'AltuninVV'
commonName :ASN.1 12:'srv1.altuninvv.ru'
Certificate is to be certified until Jan 10 00:00:26 2028 GMT (825 days)
Write out database with 1 new entries
Database updated
WARNING
=======
INCOMPLETE Inline file created:
* /home/ca/ca/pki/inline/srv1.inline
Notice
------
Certificate created at:
* /home/ca/ca/pki/issued/srv1.crtИспользование параметров для указания CN и Alt names позволяет нам в будущем автоматизировать процесс выдачи сертификатов!
Вы легко можете заменить значения:
--subject-alt-name='DNS:srv1.altuninvv.ru,IP:192.168.1.44'На нужные вам!
Сертификат будет создан в папке:
/home/ca/ca/pki/issued/Скопируем сертификат в папку с запросом:
cp /home/ca/ca/pki/issued/srv1.crt ~/req/srv1/public.crtВыведем содержимое сертификата
cat ~/req/srv1/public.crtCertificate:
Data:
Version: 3 (0x2)
Serial Number:
95:c2:2d:f2:cc:30:78:0d:9d:5b:19:0d:77:18:da:5b
Signature Algorithm: ecdsa-with-SHA512
Issuer: CN=ALTUNINVV CA
Validity
Not Before: Oct 7 00:00:26 2025 GMT
Not After : Jan 10 00:00:26 2028 GMT
Subject: C=RU, ST=Magadan Region, L=Magadan, O=AltuninVV, CN=srv1.altuninvv.ru
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:b1:43:b8:23:a3:49:85:71:61:5b:6c:9a:5c:2a:
df:cb:66:11:98:57:75:82:1e:e5:70:da:fe:d6:48:
23:fa:43:e8:dc:87:bd:21:dd:e4:37:68:50:4b:a7:
a8:6d:32:ef:cb:3e:93:eb:3f:f3:ad:21:97:2e:cd:
77:02:85:89:d2:a6:29:be:35:f3:1f:b2:6f:80:69:
6e:c5:83:c2:8b:d8:45:84:92:3d:db:5a:c8:92:38:
e3:73:89:d5:da:f3:87:59:4f:b1:71:bf:92:f3:50:
6d:35:1a:6f:a0:6b:72:b7:d7:fc:43:82:96:3f:cc:
ec:bb:a8:ce:23:29:f0:e3:21:f6:1f:7a:5a:3a:14:
a0:4d:76:c1:cd:5e:60:7b:97:de:3b:b8:c1:4a:a5:
4f:af:f5:3b:86:77:cf:b1:f9:5e:b9:c5:20:2f:d1:
a3:d0:a5:4f:52:bf:3b:d7:10:85:b4:f1:98:b0:6c:
dc:cb:23:f4:93:1d:ff:57:29:04:cd:f0:28:fd:0e:
20:8f:c3:fa:50:13:6a:b0:6e:70:68:e1:66:2f:21:
0c:bb:f4:75:76:12:a1:5f:ff:e1:36:42:19:e1:0a:
05:3d:1e:20:dc:ca:44:c3:34:61:b9:e5:60:ea:6b:
9e:f5:5a:c2:45:6f:7f:ea:41:9e:a8:fa:11:05:6e:
ba:85
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 CRL Distribution Points:
Full Name:
URI:http://192.168.1.45:9090/ca.crl
Authority Information Access:
CA Issuers - URI:http://192.168.1.45:9090/ca.crt
X509v3 Basic Constraints:
CA:FALSE
X509v3 Subject Key Identifier:
15:27:DD:62:CB:3D:48:E9:4D:93:6F:B5:44:66:DB:E4:41:B6:AA:9B
X509v3 Authority Key Identifier:
keyid:5E:99:1E:C8:CC:0D:25:CF:80:22:6D:8B:59:47:0F:CE:E7:58:3A:7A
DirName:/CN=ALTUNINVV CA
serial:0F:A1:A1:E3:9B:89:12:9C:93:9C:EE:B0:31:6E:D8:74:11:A5:F8:27
X509v3 Extended Key Usage:
TLS Web Server Authentication
X509v3 Key Usage:
Digital Signature, Key Encipherment
X509v3 Subject Alternative Name:
DNS:srv1.altuninvv.ru, IP Address:192.168.1.44
Signature Algorithm: ecdsa-with-SHA512
Signature Value:
30:64:02:30:56:9f:cb:61:5c:a1:1f:bc:0a:d8:1b:92:f0:4c:
a1:15:cd:95:1e:69:67:2b:eb:68:c6:d7:62:f5:99:19:df:5d:
16:aa:54:6d:e3:13:8f:64:7c:34:02:bf:d1:54:a2:c2:02:30:
1f:72:4c:53:f8:4b:f2:d0:7c:d9:96:4b:fd:0e:24:c6:f9:07:
64:86:f4:cd:33:1e:f4:c6:c2:3f:f5:f5:8b:9d:38:e3:32:0e:
eb:c5:cc:4e:1b:82:e2:08:8c:df:4f:e4
-----BEGIN CERTIFICATE-----
MIIDoTCCAyigAwIBAgIRAJXCLfLMMHgNnVsZDXcY2lswCgYIKoZIzj0EAwQwFzEV
MBMGA1UEAwwMQUxUVU5JTlZWIENBMB4XDTI1MTAwNzAwMDAyNloXDTI4MDExMDAw
MDAyNlowaDELMAkGA1UEBhMCUlUxFzAVBgNVBAgMDk1hZ2FkYW4gUmVnaW9uMRAw
DgYDVQQHDAdNYWdhZGFuMRIwEAYDVQQKDAlBbHR1bmluVlYxGjAYBgNVBAMMEXNy
djEuYWx0dW5pbnZ2LnJ1MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA
sUO4I6NJhXFhW2yaXCrfy2YRmFd1gh7lcNr+1kgj+kPo3Ie9Id3kN2hQS6eobTLv
yz6T6z/zrSGXLs13AoWJ0qYpvjXzH7JvgGluxYPCi9hFhJI921rIkjjjc4nV2vOH
WU+xcb+S81BtNRpvoGtyt9f8Q4KWP8zsu6jOIynw4yH2H3paOhSgTXbBzV5ge5fe
O7jBSqVPr/U7hnfPsfleucUgL9Gj0KVPUr871xCFtPGYsGzcyyP0kx3/VykEzfAo
/Q4gj8P6UBNqsG5waOFmLyEMu/R1dhKhX//hNkIZ4QoFPR4g3MpEwzRhueVg6mue
9VrCRW9/6kGeqPoRBW66hQIDAQABo4IBNzCCATMwMAYDVR0fBCkwJzAloCOgIYYf
aHR0cDovLzE5Mi4xNjguMS40NTo5MDkwL2NhLmNybDA7BggrBgEFBQcBAQQvMC0w
KwYIKwYBBQUHMAKGH2h0dHA6Ly8xOTIuMTY4LjEuNDU6OTA5MC9jYS5jcnQwCQYD
VR0TBAIwADAdBgNVHQ4EFgQUFSfdYss9SOlNk2+1RGbb5EG2qpswUgYDVR0jBEsw
SYAUXpkeyMwNJc+AIm2LWUcPzudYOnqhG6QZMBcxFTATBgNVBAMMDEFMVFVOSU5W
ViBDQYIUD6Gh45uJEpyTnO6wMW7YdBGl+CcwEwYDVR0lBAwwCgYIKwYBBQUHAwEw
CwYDVR0PBAQDAgWgMCIGA1UdEQQbMBmCEXNydjEuYWx0dW5pbnZ2LnJ1hwTAqAEs
MAoGCCqGSM49BAMEA2cAMGQCMFafy2FcoR+8CtgbkvBMoRXNlR5pZyvraMbXYvWZ
Gd9dFqpUbeMTj2R8NAK/0VSiwgIwH3JMU/hL8tB82ZZL/Q4kxvkHZIb0zTMe9MbC
P/X1i5044zIO68XMThuC4giM30/k
-----END CERTIFICATE-----Скопируем содержимое файла в Windos 10 и откроем его
Мы получили действительный сертификат!
Обязательно снимем пароль с приватного ключа, так как он будет использоваться на сервере:
openssl rsa -in private.key -out private.keyСписок отозванных сертификатов
Теперь если мы попытаемся заменить ключ и сертификат на сервере из предыдущей статьи, то мы получим сообщение:
Не удалось проверить, не был ли отозван этот сертификат.
Это происходит потому, что у нас не настроен адрес со списком отозванных сертификатов.
В случае с использованием сертификатов для серверов в ЛВС, постоянно обновлять список отозванных сертификатов не имеет большого смысла без наличия промежуточного центра сертификации. Но использование CA требует от нас наличия доступного по протоколу HTTP списка отозванных сертификатов, в противном случае мы будем получать вышеописанную ошибку!
Чтобы создать список настроим его адрес, но для этого нам понадобится любой web-сервер.
Допустим у нас есть сервер
192.168.1.45Для того, чтобы указать адрес, по которому пользователи смогут получить доступ к корневому сертификату и списку отозванных сертификатов, откроем файл:
cd ~/ca
mcedit ./x509-types/COMMONИ заменим содержимое на:
crlDistributionPoints = URI:http://192.168.1.45:9090/ca.crl
authorityInfoAccess = caIssuers;URI:http://192.168.1.45:9090/ca.crtТеперь нам нужно настроить веб-сервер, и разместить на нем файлы.
Настройка Nginx для хранения списка отозванных сертификатов
Установка Nginx
На сервере 192.168.1.45 настроим Nginx
Здесь я подразумеваю, что сервер настроен согласно статье - https://blog.altuninvv.ru/linux/ред-ос-linux/установка-lemp-сервера-в-ред-ос-linux-часть-1-делаем-как-debian
Создадим файл конфигурации
sudo touch /etc/nginx/sites-available/ca_clrДобавим содержимое:
sudo mcedit /etc/nginx/sites-available/ca_clrserver {
listen 9090;
root /var/www/ca_clr;
index index.html
server_name _;
location / {
try_files $uri $uri/ =404;
}
}Создадим папку:
sudo mkdir /var/www/ca_clrСоздадим заглушку для сайта:
sudo touch /var/www/ca_clr/index.htmlСоздадим символическую ссылку
ln -s /etc/nginx/sites-available/ca_clr /etc/nginx/sites-enabled/ca_clrПроверим конфигурацию nginx
sudo nginx -tnginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successfulПерезапустим Nginx
sudo systemctl restart nginxПопробуем открыть страницу:
http://192.168.1.45:9090/Откроется пустая страница.
Генерация списка отозванных сертификатов
Запустим:
cd ~/ca
./easyrsa gen-crlUsing Easy-RSA 'vars' configuration:
* /home/ca/ca/vars
Using configuration from /home/ca/ca/openssl-easyrsa.cnf
Enter pass phrase for /home/ca/ca/pki/private/ca.key:
Notice
------
An updated CRL DER copy has been created:
* /home/ca/ca/pki/crl.der
An updated CRL has been created:
* /home/ca/ca/pki/crl.pem
IMPORTANT: When the CRL expires, an OpenVPN Server which uses a
CRL will reject ALL new connections, until the CRL is replaced.Будет создан подписанный список отозванных сертификатов!
Копируем файлы на веб-сервер
Самый быстрый способ – это скопировать содержимое в буфер обмена и вставить через консоль на сервере:
cat ~/ca/pki/ca.crt
cat ~/ca/pki/crl.pemСоздадим на веб-сервере файлы:
sudo touch /var/www/ca_clr/ca.crt
sudo touch /var/www/ca_clr/ca.crlВставим в них содержимое соответствующих файлов.
Проверим попробуем открыть:
http://192.168.1.45:9090/ca.crt
http://192.168.1.45:9090/ca.crlПо ссылкам теперь доступны файлы с сертификатом и списком отозванных сертификатов
Отзываем старый сертификат
Чтобы добавить информацию о адресе сервера с CRL нам нужно заново выпустить сертификат. Самый правильный путь - отозвать сертификат. При этом из базы CA будут удалены запрос и старый сертификат, что позволит нам снова выпустить сертификат!
Отзовем сертификат для srv1:
cd ~/ca
./easyrsa revoke srv1Using Easy-RSA 'vars' configuration:
* /home/ca/ca/vars
WARNING
=======
This process is destructive!
These files will be MOVED to the 'revoked' sub-directory:
* /home/ca/ca/pki/issued/srv1.crt
* /home/ca/ca/pki/reqs/srv1.req
These files will be DELETED:
All PKCS files for commonName: srv1
The inline credentials files:
* /home/ca/ca/pki/inline/srv1.inline
* /home/ca/ca/pki/inline/private/srv1.inline
Please confirm that you wish to revoke the certificate
with the following subject:
subject=
countryName = RU
stateOrProvinceName = Magadan Region
localityName = Magadan
organizationName = AltuninVV
commonName = srv1.altuninvv.ru
serial-number = EF4A684F708B118B18364AC01EA6E4D3
Reason: None given
Type the word 'yes' to continue, or any other input to abort.
Continue with revocation:Введем yes и нажмем Enter
Using configuration from /home/ca/ca/pki/05306383/temp.03
Enter pass phrase for /home/ca/ca/pki/private/ca.key:
Введем пароль CA:
Revoking Certificate EF4A684F708B118B18364AC01EA6E4D3.
Database updated
Notice
------
* IMPORTANT *
Revocation was successful. You must run 'gen-crl' and upload
a new CRL to your infrastructure in order to prevent the revoked
certificate from being accepted.Обновим список отозванных сертификатов:
./easyrsa gen-crlСертификат был добавлен в список.
Загрузите его на сервер как было рассмотрено ранее.
Теперь всё что осталось, заново создать запрос на сертификат, добавить его в СА, подписать сертификат. Всё это мы рассматривали выше!
Откроем сертификат в Windows 10, у нас добавилось два новых раздела:
Заменим сертификат и ключ на сервере XRDP и попробуем снова подключиться:
На этот раз, всё прошло без ошибок!
Заключение
Сегодня мы рассмотрели установку и настройку локального центра сертификации (CA) на сервере РЕДОС Linux:
Установили последнюю версию EasyRSA;
Инициализировали PKI;
Создали сертификат для CA;
Создали сертификат для сервера и протестировали его;
Создали список отозванных сертификатов и настроили nginx в качестве хостинга для него;
Отозвали старый сертификат и выпустили новый с информацией об адресе до сервера, на котором хранится список отозванных сертификатов.
Добавить комментарий