git.sur5r.net Git - freertos/blob - FreeRTOS-Plus/CyaSSL/certs/taoCert.txt

   1
   2 ***** Create a self signed cert ************
   3
   4 1) openssl genrsa 512 > client-key.pem
   5
   6 2) openssl req -new -x509 -nodes -md5 -days 1000 -key client-key.pem > client-cert.pem
   7
   8 3) note sha1 would be -sha1
   9
  10 -- adding metadata to beginning
  11
  12 3) openssl x509 -in client-cert.pem -text > tmp.pem
  13
  14 4) mv tmp.pem client-cert.pem
  15
  16
  17 ***** Create a CA, signing authority **********
  18
  19 same as self signed, use ca prefix instead of client
  20
  21
  22 ***** Create a cert signed by CA **************
  23
  24 1) openssl req -newkey rsa:512 -md5 -days 1000 -nodes -keyout server-key.pem > server-req.pem
  25
  26 * note if using exisitng key do: -new -key keyName
  27
  28 2) copy ca-key.pem ca-cert.srl   (why ????)
  29
  30 3) openssl x509 -req -in server-req.pem -days 1000 -md5 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem
  31
  32
  33
  34 ***** To create a dsa cert ********************
  35
  36 1) openssl dsaparam 512 > dsa512.param       # creates group params
  37
  38 2) openssl gendsa dsa512.param > dsa512.pem  # creates private key
  39
  40 3) openssl req -new -x509 -nodes -days 1000 -key dsa512.pem > dsa-cert.pem
  41
  42
  43
  44
  45 ***** To convert from PEM to DER **************
  46
  47 a) openssl x509 -in cert.pem -inform PEM -out cert.der -outform DER
  48
  49 to convert rsa private PEM to DER :
  50
  51 b) openssl rsa -in key.pem -outform DER -out key.der
  52
  53
  54 **** To encrypt rsa key already in pem **********
  55
  56 a) openssl rsa <server-key.pem.bak -des >server-keyEnc.pem
  57
  58 note location of des, pass = yassl123
  59
  60
  61 *** To make a public key from a private key ******
  62
  63
  64 openssl rsa -in 1024rsa.priv -pubout -out 1024rsa.pub
  65
  66
  67 **** To convert to pkcs8 *******
  68
  69 openssl pkcs8 -nocrypt -topk8 -in server-key.pem -out server-keyPkcs8.pem
  70
  71
  72 **** To convert to pkcs8 encrypted *******
  73
  74 openssl pkcs8 -topk8 -in server-key.pem -out server-keyPkcs8Enc.pem
  75
  76 passwd: yassl123
  77
  78 to use PKCS#5 v2 instead of v1.5 which is default add
  79
  80 -v2 des3       # file Pkcs8Enc2
  81
  82 to use PKCS#12 instead use -v1 witch a 12 algo like
  83
  84 -v1 PBE-SHA1-RC4-128   # file Pkcs8Enc12 , see man pkcs8 for more info
  85
  86
  87 **** To convert from pkcs8 to traditional ****
  88
  89 openssl pkcs8 -nocrypt -in server-keyPkcs8.pem -out server-key.pem
  90
  91
  92 *** DH paramters ***
  93
  94 openssl dhparam 2048 > dh2048.param
  95
  96 to add metadata
  97
  98 openssl dhparam -in dh2048.param -text > dh2048.pem
  99
 100 **** ECC ******
 101
 102 1) make a key
 103
 104     to see types available do
 105         openssl ecparam -list_curves
 106
 107     make a new key
 108         openssl ecparam -genkey -text -name secp256r1 -out ecc-key.pem
 109
 110
 111 *** CRL ***
 112
 113 1) create a crl
 114
 115 a) openssl ca -gencrl -crldays 120 -out crl.pem -keyfile ./ca-key.pem -cert ./ca-cert.pem
 116
 117 Error No ./CA root/index.txt so:
 118
 119 b) touch ./CA root/index.txt
 120
 121 a) again
 122
 123 Error No ./CA root/crlnumber so:
 124
 125 c) touch ./CA root/crlnumber
 126
 127 a) again
 128
 129 Error unable to load CRL number
 130
 131 d) add '01' to crlnumber file
 132
 133 a) again
 134
 135 2)  view crl file
 136
 137 openssl crl -in crl.pem -text
 138
 139 3) revoke
 140
 141 openssl ca -revoke server-cert.pem -keyfile ./ca-key.pem -cert ./ca-cert.pem
 142
 143 Then regenerate crl with a)
 144
 145 4) verify
 146
 147 openssl verify -CAfile ./ca-cert.pem  ./server-cert.pem
 148
 149 OK
 150
 151 Make file with both ca and crl
 152
 153 cat ca-cert.pem crl.pem > ca-crl.pem
 154
 155 openssl verify -CAfile ./ca-crl.pem -crl_check ./ca-cert.pem
 156
 157 revoked