## ca.labka.cz
# 1> Nastav heslo:
$ echo "<Your Very Secure Password>" > passwd

# 2> Vytvoř kořenovou CA:
$ openssl req -x509 -newkey rsa:4096 -keyout myCA.key -out myCA.pem -days 3650 \
 -subj "/C=CZ/L=Ostrava/O=Labka/OU=Infra/CN=ca.labka.cz/emailAddress=admin@admin" \
 -passout file:passwd

# 3> Zbav RSA klíč hesla:
$ openssl rsa -in myCA.key -out myCA_nopass.key -passin file:passwd

# 4> Exportuj CA balík certifikátů s privátním klíčem v PFX formátu:
$ openssl pkcs12 -export -in myCA.pem -inkey myCA.key \
 -passin pass:$(<passwd) -out CA.pfx -passout file:passwd

# 5> Vytvoř konfigurační LDAP vzor pro CSR:
$ cat <<EOT >myCSR.cnf
basicContrains=CA:FALSE
keyUsage=nonRepudiation,digitalSignature,keyEncipherment,dataEncipherment
extendedKeyUsage=serverAuth,clientAuth
subjectAltName=DNS:LDAP.LABKA.CZ,DNS:LABKA.CZ,IP:192.168.1.12
EOT

# 6> Vytvoř LDAPS CSR soubory:
$ openssl req -out myCSR.csr -newkey rsa:4096 -nodes -keyout myCSR.key \
 -subj "/C=CZ/L=Ostrava/O=Labka/OU=Infra/CN=ldap.labka.cz/emailAddress=admin@admin"

# 7> Podepiš požadavek o podepsaní certifikátu pomocí LDAP vzoru:
$ openssl x509 -CA myCA.pem -CAkey myCA_nopass.key -CAcreateserial -req -in myCSR.csr -days 3650 \
 -extfile myCSR.cnf -out myCSR.pem

# 8> Exportuj podepsaný LDAPS balík certifikátů v PFX formátu:
$ openssl pkcs12 -export -in myCSR.pem -inkey myCSR.key -out ldaps.pfx -passout file:passwd

# 9> Bezpečnostní vložka
$ rm -f passwd