Remove an extra space char in PKIs.tex
[ach-master.git] / src / theory / PKIs.tex
index 17a1695..abd5fb8 100644 (file)
@@ -15,7 +15,7 @@ certificates, and the CA system has a big list of possible and real
 problems which are summarized in section \ref{sec:hardeningpki} and~\cite{https13}.
 
 The Web of Trust is a decentralized system where people sign each
-others keys, so that there is a high chance that there is a ``trust
+other's keys, so that there is a high chance that there is a ``trust
 path'' from one key to another. This is used with PGP keys, and while
 it avoids most of the problems of the CA system, it is more
 cumbersome.
@@ -64,7 +64,7 @@ to you.  In this case, you can generate a private key and a corresponding
 certificate request as follows:
 
 \begin{lstlisting}
-% openssl req -new -nodes -keyout <servername>.key -out <servername>.csr -newkey rsa:<keysize>
+% openssl req -new -nodes -keyout <servername>.key -out <servername>.csr -newkey rsa:<keysize> -sha256
 Country Name (2 letter code) [AU]:DE
 State or Province Name (full name) [Some-State]:Bavaria
 Locality Name (eg, city) []:Munich
@@ -96,7 +96,7 @@ following commands on a Debian system:
 % sudo ./CA.pl -newca
 \end{lstlisting}
 
-Answer the questions according to your setup. Now that you have configured your basic settings and 
+Answer the questions according to your setup. Now that you have configured your basic settings and
 issued a new root certificate, you can issue new certificates as follows:
 
 \begin{lstlisting}
@@ -117,12 +117,17 @@ CA at all, but is signed by the entity that it is issued to.  Thus, the
 organizational overhead of running a CA is eliminated at the expense of
 having to establish all trust relationships between entities manually.
 
-With OpenSSL, a self-signed certificate may be created with this command:
+With OpenSSL, you can self-sign a previously created certificate with this command:
 
 \begin{lstlisting}
 % openssl req -new -x509 -key privkey.pem -out cacert.pem -days 1095
 \end{lstlisting}
 
+You can also create a self-signed certificate in just one command:
+\begin{lstlisting}
+openssl req -new -x509 -keyout privkey.pem -out cacert.pem -days 1095 -nodes -newkey rsa:<keysize> -sha256
+\end{lstlisting}
+
 The resulting certificate will by default not be trusted by anyone at all,
 so in order to be useful, the certificate will have to be made known a
 priori to all parties that may encounter it.
@@ -144,7 +149,7 @@ Therefore several security enhancements were introduced by different
 organizations and vendors~\cite{tschofenig-webpki}. Currently two
 methods are used, DANE~\cite{rfc6698} and Certificate
 Pinning~\cite{draft-ietf-websec-key-pinning}. Google recently proposed
-a new system to detect malicious CAs and certificates  called Certificate 
+a new system to detect malicious CAs and certificates called Certificate
 Transparency~\cite{certtransparency}.
 
 % \subsubsection{DANE}
@@ -167,7 +172,7 @@ Transparency~\cite{certtransparency}.
 % A good background on PKIs can be found in
 % \footnote{\url{https://developer.mozilla.org/en/docs/Introduction_to_Public-Key_Cryptography}}
 % \footnote{\url{http://cacr.uwaterloo.ca/hac/about/chap8.pdf}}
-% \footnote{\url{http://www.verisign.com.au/repository/tutorial/cryptography/intro1.shtml}}
+% \footnote{\url{https://www.verisign.com.au/repository/tutorial/cryptography/intro1.shtml}}
 % .
 
 % \todo{ts: Background and Configuration (EMET) of Certificate Pinning,