Create a Post
cancel
Showing results for 
Search instead for 
Did you mean: 
Mike_Wu1
Contributor

使用OpenSSL 產出SHA2 60 年CA憑證

簡單說,產出自簽憑證後可以匯入做SSL Inspection,後續透過GPO派送,User就不用一直簽憑證,爽爽用到機器掛了,再買還是可以繼續用那一張,除非強度又不夠了。

Open SSL for windows 下載回來安裝,在其路徑\bin底下操作下方指令

-----

mkdir customer name/
cd customer name/

..\openssl.exe genrsa -aes256 -out rootca.key 8192

..\openssl.exe req -sha256 -new -x509 -days 18260 -key rootca.key -out rootca.crt

我今天有看到cpopenssl 指令在Expert mode,環境允許的話,也可以用這個指令做操作,同樣的結果。

此時可產出SHA-2 憑證及Private Key,-days 可自行修改。

通常Private key會加密,此時需要解開才可匯入至CP

cpopenssl rsa -in rootca.key -out decrypt.key

取出root.crt & decrypt.key 進行匯入

SK65123 / SK108202

Fxxk, SK越爬越想睡~~~~~~

3 Replies
Neville_Kuo
Advisor

最近也在搞這個,只不過是給公有雲用,所以是公開憑證,不可能一簽60年。

Mike_Wu1
Contributor

主機對外的公開憑證重點在整個chain都要trust. 曾經被弄過......

Danny_Yang
Ambassador
Ambassador

謝謝Mike分享!

SSL加解密的需求越來越高,啟用https inspection除了考慮效能,整體架構的評估也相當重要。

我們預計在R80.20與新版GAiA的釋出時同步會發表支援5800,5900以及15000/23000系列的加速卡,對於處理SSL效能將大幅增加。敬請期待!

0 Kudos
Upcoming Events

    CheckMates Events