我正在尝试使用简单的AD在AWS Workspaces上实现仅允许受信任设备功能。
有人可以指导我如何生成自签名的root&客户证书具有以下功能。
证书必须是CRT,CERT或PEM格式的Base64编码证书文件。 证书必须包含通用名称。 支持的证书链的最大长度为4。 Amazon WorkSpaces目前不支持客户端证书的设备吊销机制,例如证书吊销列表(CRL)或在线证书状态协议(OCSP)。 使用强大的加密算法。我们建议使用带有RSA的SHA256,带有CEDSA的SHA256,带有CEDSA的SHA381或带有CEDSA的SHA512。
答案 0 :(得分:2)
您需要先创建CA:
SERVER_NAME=fred
DOMAIN_NAME=domain.local
export $SERVER_NAME $DOMAIN_NAME
openssl genrsa -out CA_$SERVER_NAME.$DOMAIN_NAME.key 2048
openssl req -x509 -new -nodes -key CA_$SERVER_NAME.$DOMAIN_NAME.key -sha256 -days 1024 -out CA_$SERVER_NAME.$DOMAIN_NAME.pem -subj "/C=GB/ST=MyCounty/L=MyTown/O=MyOrganisation/OU=MyOrganisationUnit/CN=$SERVER_NAME.$DOMAIN_NAME
然后,您可以创建从刚刚创建的CA签名的证书。
openssl genrsa -out $SERVER_NAME.$DOMAIN_NAME.key 2048
openssl req -new -key $SERVER_NAME.$DOMAIN_NAME.key -out $SERVER_NAME.$DOMAIN_NAME.csr -subj "/C=GB/ST=MyCounty/L=MyTown/O=MyOrganisation/OU=MyOrganisationUnit/CN=$SERVER_NAME.$DOMAIN_NAME.client"
openssl x509 -req -in $SERVER_NAME.$DOMAIN_NAME.csr -CA CA_$SERVER_NAME.$DOMAIN_NAME.pem -CAkey CA_$SERVER_NAME.$DOMAIN_NAME.key -CAcreateserial -out $SERVER_NAME.$DOMAIN_NAME.crt -days 365 -sha256
现在您已创建CA和证书,您可以通过运行来测试是否从CA创建了证书:
openssl verify -CAfile CA_fred.domain.local.pem fred.domain.local.crt