n  -keyout – путь сохранения файла закрытого ключа сервера;

n  -out – путь сохранения файла сертификата.

Второй путь считается более правильным, так как наш сертификат будет подписан авторитетным центром сертификации, но где же найти эти авторитетные центры? В продукции Mozilla, а конкретно Firefox, их можно найти, пройдя по пунктам «Инструменты -> Настройки -> Дополнительно -> Шифрование -> Просмотр сертификатов -> Центры сертификации». Выбирать стоит кого-то пораспространенней, подешевле или даже бесплатных (последние существуют). В нашем конкретном случае достаточно выбрать кого-то из перечисленных в Firefox, так как продукцию компании Microsoft мы не будем использовать. Не стану рекламировать кого-то конкретно, могу лишь отметить что: COMODO CA Limited выдает ключи на 90 дней, но после регистрации высылает ключ, зарегистрированный на EssentialSSL, которого нет в списке доверенных центров Firefox (который, правда, есть в Internet Explorer), поэтому от него пришлось сразу отказаться. Достаточно широко распространенный www.thawte.com бесплатно раздает ключи сроком на 21 день, но он отказывается регистрировать локальные ресурсы и IP-адреса, т.е. он будет проверять доменное имя на существование в Интернете.

Итак, на практике процесс генерации и подписи сертификата происходит так. Создадим закрытый ключ и сертификат, требующий подписи, известный так же как Certificate Signing Request (CSR):

openssl req -new -nodes -keyout /etc/ssl/private/myserver.key -out /etc/ssl/private/respotse.csr

/etc/ssl/private/myserver.key -out /etc/ssl/private/respotse.csr

Generating a 1024 bit RSA private key

....................................++++++

......++++++

writing new private key to '/etc/ssl/private/myserver.key'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.