¿Cuál es la función de cakey.pem y cacert.pem además del cifrado basado en .key y .crt?

1

yo tengo .key archivo que contiene los datos de clave privada, .crt archivo que sería certificado con clave pública y, que yo sepa, eso es todo para el cifrado de clave pública, ¿verdad?

No exactamente. Para lograr mi objetivo también debo generar cakey.pem y cacert.pem, para lo cual no sé para qué sirven.

Tengo un ejemplo con la configuración de TLS con Postfix MTA.

Hago:

openssl genrsa 1024 > smtpd.key
openssl req -new -key smtpd.key -x509 -days 3650 -out smtpd.crt

estas dos, smtpd.key y smtpd.crt, son clave (clave privada) y certificado (con clave pública incorporada).

cuál es el

openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650

Archivos cakey.pem y cacert.pem para?

greenV
fuente

Respuestas:

3

No necesitas un Autoridad certificada . Un certificado autofirmado es perfectamente válido por sí mismo. De hecho, es su propia CA.

Si desea utilizar una CA dedicada, debe firmar smtpd.crt con el CA en su lugar. Las AC se utilizan para establecer una cadena de confianza. Si un cliente confía en una CA, confía automáticamente en todos los certificados firmados por ella.

Aquí hay una guía para crear una CA autofirmada y firmar un certificado con ella, tomada de Paralelas :

  • openssl genrsa -out rootCA.key 2048
  • openssl req -x509 -new -nodes -key rootCA.key -days 3650 -out rootCA.pem
  • openssl genrsa -out server.key 2048
  • openssl req -new -key server.key -out server.csr
  • openssl x509 -req -in server.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out server.crt -days 730
Daniel B
fuente
Creo que necesito CA. Si yo, por ejemplo, omito especificar smtpd_tls_CAfile, no funcionará. aquí es referencia
greenV
Bueno, la guía está rota. La forma en que se generan los certificados, no tienen relación alguna. Editaré la publicación para incluir una guía de Parallels.
Daniel B
Cierto para la guía rota y también para generar CA. ¡Gracias!
greenV