Generare certificato SSL con sintassi openSSL invece che pki

[DoctorStrange]

Ciao a tutti,

Stò cercando, in ogni modo di riuscire a convertire la sintassi per generare un certificato, usando il comando "openSSL", piuttosto che l'utility "pki".
in pratiica, questo è il comando "pki" che ho:

Codice: Seleziona tutto

pki --pub --in ~/pki/private/server-key.pem --type rsa \
    | pki --issue --lifetime 1825 \
        --cacert ~/pki/cacerts/ca-cert.pem \
        --cakey ~/pki/private/ca-key.pem \
        --dn "CN=server_domain_or_IP" --san server_domain_or_IP \
        --flag serverAuth --flag ikeIntermediate --outform pem \
    >  ~/pki/certs/server-cert.pem

Ed io lo vorrei replicare, quanto piu possibile fedelmente, in openSSL. possibilmente, vorrei generare il certificato uscente, nella codifica PKCS12. Ho elaborato qualcosa di simile, ma non ci sono ancora, comunque quello che ho provato a fare, è questo:

Codice: Seleziona tutto

openssl pkcs12 \
-passout pass:passwordInChiaro\
-export \
-nokeys \
-cacerts \
-in ca-cert.pem \
-out certificatoPKCS12.ca.cert.p12 \
-inkey ca-key.pem 

Qualcuno che abbia familiarità con OpenSSL, potrebbe aiutarmi, per favore?

Grazie

[Filoteo]

Un certificato di che tipo? CA o non CA? A quale scopo?

[DoctorStrange]

Non è un certificato CA.
La chiave della CA, ed il suo certificato già li ho.
Questo è un certificato per un server preposto a funzionare come server gateway in una VPN che vorrei provare a configurare conforme allo standard di sicurezza ikev2/ipsec MSCHAPv2.
Questo specifico certificato non è necessario che sia nel formato PKCS12 come avevo detto nel precedente messaggio, perche sarà il certificato del client a doverlo essere, che genererò allo step seguente.
Resta comunque la domanda principale. Come si può convertire in una sintassi idonea ad openSSL?

Grazie

[Filoteo]

Il comando openssl pkcs12 ... che hai scritto è sintatticamente corretto ma crea semplicemente un bundle PKCS#12 della chiave privata e pubblica della CA. Piuttosto, mi pare tu voglia generare un certificato per server (leaf) firmato da una CA già creata, con l'estensione extendedKeyUsage = serverAuth, ikeIntermediate. È possibile generarlo con openssl ma particolarmente ostico, devi creare un file di configurazione, dai un occhiata qui. Una volta creata la configurazione, dal momento che hai già tutti i componenti (oppure puoi ricreare la PKI da zero) puoi passare alla creazione del certificato. OpenSSL non sembra riconoscere ikeIntermediate quindi dovrai utilizzare gli OID: extendedKeyUsage = 1.3.6.1.5.5.7.3.1, 1.3.6.1.5.5.8.2.2, questo nella sezione server_cert del file di configurazione del tutorial.

[DoctorStrange]

Veramente grazie mille. Ho una guida attendibile dove studiare la procedura.
A buon rendere !