如果你还没有这样做,请阅读生成PTP 650/670的HTTPS证书-创建CA.在前面的主题中,我们为本地证书颁发机构(CA)创建了私钥和证书。
现在我们将创建单独的密钥和证书,安装在PTP 650/670 ODUs,并由本地CA签名。我们使用的是OpenSSL版本1.1.1k。我们正在创建证书,其中主题是ODU的IP地址;在本例中,它是10.130.159.44。当然,您应该使用您自己的ODU的IP地址。作为一种替代方法,如果您的网络中有DNS,可以使用DNS名称(换句话说,FQDN)。我们使用“ptp670”作为主机名,但您应该为每个ODU使用唯一的名称。
要只使用IP地址,请创建一个文本文件10 - 130 - 159 - 44 - ext.txt包含以下几点:
subjectAltName = IP: 10.130.159.44
如果需要使用DNS名称和IP地址,请创建如下文本文件:
subjectAltName = DNS:ptp670.aardvark.com, IP:10.130.159.44
生成PEM格式的ODU私钥:
Openssl genrsa -out 10-130-159-44-key。pem 2048
生成证书签名请求(实质上是一个未签名的证书)。为你的网络使用适当的细节:
openssl req -new -sha256 -subj "/C=GB/ST=Devon/L=Ashburton/O=Aardvark Enterprises/OU=Wireless/CN=10.130.159.44" -key 10-130-159-44-key。pem治疗10 - 130 - 159 - 44 - csr.pem
使用CA私钥签名请求,以DER格式输出签名的证书:
Openssl x509 -req -days 3650 -in 10-130-159-44-csr。-CA aardvark -CA . cert. pem -extfile 10-130-159-44-ext.txt -CA aardvark -CA . cert. pempem凝固了的aardvark-ca-key。- cacreatesserial -outform DER -out 10-130-159-44-cert.der
在上面的签名步骤中,我们将证书扩展名包含在文件中10 - 130 - 159 - 44 - ext.txt.如果有读者能看到更直接的方法,请在下面评论。
最后,将ODU键转换为DER格式:
Openssl rsa - 10-130-159-44-key。10-130-159-44-key.der . pem -out - form DER -out
您可以在Windows操作系统下查看DER格式的ODU证书。期待看到这样的事情:
在详细信息选项卡中,我们可以看到SAN域中ODU的IP地址和/或DNS名称:
如果你已经添加了根CA证书到Windows受信任的CA证书存储,那么ODU证书的证书细节选项卡看起来像这样:
如果到目前为止您一直遵循这个过程,我相信您一定会像我看到“这个证书是好的”时一样高兴。
您可以在ODU中安装与IP地址(或DNS名称)匹配的ODU密钥和证书(本例中分别为10-130-159-44-key.der和10-130-159-44-cert.der)。
期待在web浏览器中看到挂锁图标,而没有任何浏览器警告:
每个PTP都重复这个练习650/670。
