Часть 1 - tpmvscmgr
Часть 2 - генерация корневого сертификата и настройка openssl сapi.dll engine
Теперь надо залепить собственно CA. Полутайное знание - оно есть в доке но несколько неочевидно при прочтении - что у openssl ca есть аж 10 параметров, которые хорошо бы держать в openssl.conf, а не передавать каждый раз в коммандлайне. Они документированы, но тайность заключается в том, что некоторые значения опциональны в конфиге, но их тогда приходится указывать в коммандлайне. Так что если вы хотите более-менее DRY коммандлайн - то они де факто mandatory хоть формально в доке написано обратное.
Тайное знание - формат private_key в случае capi engine. И то что в serial.hex надо поместить 00 и перевод строки, но будут работать и некоторые другие варианты. index.txt надо создать пустым, но это документировано.
policy (и её зеркальное отражение в req, но об этом позже) - это самое страшное, что есть в любом PKI CA. Да и в любой схеме с подписями. Вам надо придумать набор claims (в терминах JWT), которые вы будете подписывать при выдаче сертификата. В терминах X.509 набор сlaims - это DN, Distinguished Name. Там куча абсурдных сведений
типа степени разработанности ануса, и надо решить, какие из них вам нужны, какие нужны системе, в которой сертификат будет работать, а какие не нужны.
Вот Country и Organization Name вам точно НЕ нужны. Поскольку это внутренний CA, организация у вас одна, указывать её нет смысла. См. количество информации - если вероятность 1 то информации у нас 0. Страна тоже не особо нужна. Точнее, страна - это достаточно неудобный классификатор, даже если у вас реально есть несколько разных стран. Остаются Organization Unit и Locality. В-общем изначально решить, что вы будете указывать в OU и L, невозможно. Надо насоздавать всем сертов, а потом, во второй версии CA, понять, нужна ли вам какая-то схема классификации. Поэтому используйте OU или L. Я выбрал L, поскольку SSID это очевидно скорее L чем OU. Но реально надо понимать что это вам скорее всего не понадобится и на данном этапе добавлено на всякий случай.
Common Name как правило вы не выбираете сами, а его выбирает система, в которой используется сертификат. В случае WAP2 EAP-TLS в CN лежит IP. Ну и тут понятно, что вам скорее всего понадобится всего 1 сертификат с CN=IP для каждого IP. А если где-то понадобится 2 разных - то будете различать их по L/OU. Поскольку выдавать неуникальные DN - это моветон.
Итого в конфиг дописывается секция ca, определяющая, вы не поверите, дефолтовые параметры для команды openssl ca:
[ca]
default_ca = ca_section
[ca_section]
dir = MYCA
database = $dir/index.txt
serial = $dir/serial.hex
new_certs_dir = $dir/newcert
email_in_dn = no
policy = policy_ip_section
default_days = 365
private_key = 4 # "Certificate 4" из openssl engine -t -post list_certs
certificate = certs/ca.cert.pem
default_md = sha256
[ policy_ip_section ]
localityName = supplied
commonName = supplied
В результате когда к вам придёт CSR, openssl проверит, что в нём есть клаймы L и СN, и выкинет все остальный клаймы, если их укажут при создании CSR. Это тоже документировано, но если вы не используете CSR, то непонятен смысл всего этого птичьего языка. Надеюсь, теперь понятно что такое OpenSSL CA Policy.
Теперь расскажу, где брать certs/ca.cert.pem. Его можно брать 2 путями:
1. Экспорт из certmgr. Это публичный ключ, т.е. экспортировать НУЖНО.
Пускаем mmc. Я предпочитаю добавлять снапины в пустой mmc. File - Add/remove snap-in. Добавляем туда Certificates. Потом в радиобаттоне - My user account.
Там заходим в Personal. Находим в списке наш CA, сгенерённый из powershell в Ч2. All tasks - export. Убеждаемся что приватный ключ экспортировать низя, так как мы это запретили. На следующем этапе выбираем base64, т.к. это PEM, формат, в котором все хотят. Проверяем через openssl x509 -noout -text -in ca.cer что опенссл всё распарсил.
Вроде бы всё норм, но OpenSSL потом откажется этот серт брать. Запасаемся попкором - для этого нам понадобится способ 2, но до него нам ещё надо генерить CSR.
