ইন্টারমিডিয়েট সিএ তৈরি করুন যা শংসাপত্র জারি করতে পারে?


0

আমি আউটলুকে অফিস 365 সাইন ইন / এনক্রিপশন উদ্দেশ্যে ব্যবহারের জন্য একটি সিএ এবং মধ্যবর্তী সিএ তৈরি করার চেষ্টা করছি। আমি বেশ কিছু টিউটোরিয়াল অনুসরণ করতে সক্ষম হয়েছি এবং ওপেনএসএসএল দিয়ে একটি সিএ এবং ইন্টারমিডিয়েট সিএ তৈরি করে যা শংসাপত্র তৈরি করে। আমি দুটি সমস্যার মধ্যে চলেছি:

  1. আমি যখন একটি শেষ ব্যবহারকারী x509 শেষ-ব্যবহারকারীর শংসাপত্র উত্পন্ন করি তখন এটি অবৈধ হিসাবে চিহ্নিত করা হয় কারণ মধ্যবর্তী সিএতে শংসাপত্র দেওয়ার ক্ষমতা নেই।
  2. আমি পরিবর্তে রুট সিএ দিয়ে শেষ-ব্যবহারকারীর শংসাপত্রটি উত্পন্ন করলে আমি ইমেলগুলিকে সূক্ষ্মভাবে এবং এনক্রিপ্ট করতে পারি, তবে কিছুক্ষণ পরে এটি কাজ করা বন্ধ করে দেয়।

আমি মনে করি সমস্যা 2 শেষ-ব্যবহারকারীর শংসাপত্রগুলি মধ্যবর্তী সিএ দ্বারা স্বাক্ষরিত না হওয়ার কারণে সৃষ্টি হয়েছে। এক্সচেঞ্জ অনলাইন-এ, SMIMEE ExpiredCertificateThumbprint মধ্যবর্তী শংসাপত্রের থাম্বপ্রিন্ট দেয়, মূল সিএ নয় returns আমি এখনও জিএএল-তে উত্সাহিত এন্ড-ইউজার সার্টিফিকেট প্রকাশ করতে পারি এবং কয়েকটি তাত্ক্ষণিক ইমেল প্রেরণ করতে পারি, তবে আউটলুক একবার জিএএল এর সাথে সিঙ্ক করলে এটি দেখায় যে শংসাপত্রটি ইন্টারমিডিয়েট সার্ট থেকে উত্পন্ন হয় না এবং এটি অননুমোদিত ঘোষণা করে।

আমি মনে করি 1 টি সমস্যা সমাধান করা 2 টি সমস্যা সমাধান করবে, তবে কীভাবে মধ্যবর্তী সিএর শংসাপত্র দেওয়ার জন্য অনুমতি সেট করবেন তা আমি জানি না। কোন সাহায্য?

এখানে আমি বর্তমানে একটি শিকড় এবং মধ্যবর্তী সিএ তৈরি করছি:

openssl genrsa -out ca.key 4096
openssl req -new -x509 -days 1826 -key ca.key -out ca.crt
openssl genrsa -out ia.key 4096
openssl req -new -key ia.key -out ia.csr
openssl x509 -req -days 730 -in ia.csr -CA ca.crt -CAkey ca.key -serial -out ia.crt

এবং এখানে ক্লায়েন্টরা কীভাবে উত্পন্ন হচ্ছে তা এখানে:

openssl genrsa -aes128 -out email.key 2048
openssl req -new -key email.key -out email.csr
openssl x509 -req -days 365 -in email.csr -CA ia.crt -CAkey ia.key -CAcreateserial -out email.crt
openssl pkcs12 -export -in email.crt -inkey email.key -out email.pfx
openssl x509 -in email.crt -serial -noout >> email.meta
openssl x509 -in email.crt -fingerprint -noout  >> email.meta

উত্তর:


0

সুতরাং মূলত আমি ওপেনএসএসএল দিয়ে সমস্যাটি কীভাবে সমাধান করবেন তা অগত্যা বুঝতে পারি নি তবে জেনুটিএলএস শংসাপত্র ব্যবহারের জন্য অনুরোধ করে যাতে কাজ করা সহজ।

আমি নীচে রুট সিএ তৈরি করছি:

certtool --generate-privkey --bits 4096 --outfile ca.key
certtool --generate-self-signed --load-privkey ca.key --template ca.vars --outfile ca.crt

আমার ca.vars দেখতে যেখানে দেখায়:

organization = [Company Name]
unit = [Org Unit]
locality = [City]
state = [State]
country = [Country Code]
challenge_password = [password]
password = [password]
expiration_days = 1825
serial = 1
ca
cert_signing_key
crl_signing_key
cn = '[Company Name] Root CA 000001'

দ্রষ্টব্য: পাসওয়ার্ডটি ca.vars ফাইলটিতে তালিকাভুক্ত যা অনিরাপদ; তবে আমার প্রয়োগের জন্য একটি স্ক্রিপ্ট ভার্স ফাইল তৈরি করে এবং তারপরে এটি এসআরএম মোছার সরঞ্জামটি ব্যবহার করে মুছে দেয়। আপনি যদি আপনার ভার্স ফাইলগুলি তৈরি করতে স্ক্রিপ্টগুলি ব্যবহার না করে থাকেন তবে কেবল পাসওয়ার্ড এবং চ্যালেঞ্জ_পাসওয়ার্ড লাইন বাদ দিন এবং আপনাকে অনুরোধ জানানো হবে।

তারপরে অন্তর্বর্তী সিএ এর নিম্নরূপ:

certtool --generate-privkey --bits 4096 --outfile ia.key
certtool --generate-request --template ia.vars --load-privkey ia.key --outfile ia.csr
certtool --generate-certificate --template ia.vars --load-request ia.csr --load-ca-certificate ca.crt --load-ca-privkey ca.key  --outfile ia.crt

Ca.vars এবং ia.vars এর মধ্যে পার্থক্য হ'ল আমি মেয়াদোত্তীকরণের দিনগুলি 365 এ সেট করেছি এবং নিম্নলিখিত লাইনটি যুক্ত করেছি:

path_len = 1

সেখান থেকে আমি উপরের স্ক্রিপ্টটি ওপেনসেল এবং ia_ [সাইন / এনক্রিপ্ট] শংসাপত্র কর্তৃপক্ষের সাথে x509 শংসাপত্রগুলি তৈরি করতে ব্যবহার করতে পারি যা আমি অফিস 365 এর সাথে আউটলুকে ইমেলগুলিতে সাইন / এনক্রিপ্ট করতে পারি। আমি কেবল রেফারেন্সের জন্য এটি আবার পেস্ট করব:

openssl genrsa -aes128 -out email.key 2048
openssl req -new -key email.key -out email.csr
openssl x509 -req -days 365 -in email.csr -CA ia.crt -CAkey ia.key -CAcreateserial -out email.crt
openssl pkcs12 -export -in email.crt -inkey email.key -out email.pfx
openssl x509 -in email.crt -serial -noout >> email.meta
openssl x509 -in email.crt -fingerprint -noout  >> email.meta

আশা করি এটি আমার ছাড়াও কাউকে সাহায্য করবে! :)

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.