OpenSSL: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
| Zeile 9: | Zeile 9: | ||
= Zertifikate erzeugen mit OpenSSL = | = Zertifikate erzeugen mit OpenSSL = | ||
== CA aufsetzen, allgemeine Konfiguration == | |||
Ich bin der [http://www.debian-administration.org/articles/618 Debian-Anleitung] gefolgt. | Ich bin der [http://www.debian-administration.org/articles/618 Debian-Anleitung] gefolgt. | ||
| Zeile 14: | Zeile 16: | ||
Die Pfade ensprechen der Konfiguration von Fedora. | Die Pfade ensprechen der Konfiguration von Fedora. | ||
/etc/pki/tls/misc/CA ist ein Hilfs-Skript, dass als Wrapper die Aufrufe von OpenSSL vereinfacht. | /etc/pki/tls/misc/CA ist ein Hilfs-Skript, dass als Wrapper die Aufrufe von OpenSSL vereinfacht. | ||
Dieses Skript muss ggf. angepasst werden, damit es den eigenen Wünschen entspricht, z.B. | Dieses Skript muss ggf. angepasst werden, damit es den eigenen Wünschen entspricht, z.B. | ||
| Zeile 32: | Zeile 34: | ||
[ req ] | [ req ] | ||
default_bits = 2048 | default_bits = 2048 | ||
req_extensions = v3_req | |||
[ req_distinguished_name ] | [ req_distinguished_name ] | ||
| Zeile 43: | Zeile 46: | ||
Eine neue CA wird dann mit <code><nowiki>/etc/pki/tls/misc/CA - | Eine neue CA wird dann mit <code><nowiki>/etc/pki/tls/misc/CA -newca</nowiki></code> erzeugt. Dabei werden verschiedene Parameter abgefragt, die relativ selbsterklärend sind. Die "PEM pass phrase" wird genutzt, um den geheimen Schlüssel der CA zu verschlüsseln und entsprechend sicher zu wählen. Beim Signieren muss die pass phrase wieder angegeben werden. | ||
== Zertifikate erstellen == | |||
Nach dem Aufsetzen der CA kann man mit <code><nowiki>/etc/pki/tls/misc/CA -newreq</nowiki></code> Zertifikats-Requests erzeugen. Dabei werden wieder verschiedene Parameter abgefragt. | |||
Wenn man die Zeilen mit req_extensions und subjectAltName in openssl.cnf wie open setzt und die Umgebungsvariable SAN setzt, wird die Extension "Subject Alternative Name" beim Erzeugen von Zertifikats-Requests entsprechend gesetzt. Dies ist z.B. wichtig bei Webservern, die unter verschiedenen Namen erreichbar sind. | |||
---- | ---- | ||
[[KategorieWissen]] | [[KategorieWissen]] | ||
Version vom 1. Januar 1970, 02:00 Uhr
Allgemeine Befehle
Zertifikatsinhalt anzeigen:
openssl x509 -noout -text -in DATEI
Zertifikate erzeugen mit OpenSSL
CA aufsetzen, allgemeine Konfiguration
Ich bin der Debian-Anleitung gefolgt.
Die Pfade ensprechen der Konfiguration von Fedora.
/etc/pki/tls/misc/CA ist ein Hilfs-Skript, dass als Wrapper die Aufrufe von OpenSSL vereinfacht. Dieses Skript muss ggf. angepasst werden, damit es den eigenen Wünschen entspricht, z.B.
DAYS="-days 1825" CADAYS="-days 3650"
Außerdem muss /etc/pki/tls/openssl.cnf angepasst werden.
Hier kann man z.B. Vorgaben für Requests machen, z.B.
[ CA_default ]
default_days = 1825
[ req ]
default_bits = 2048
req_extensions = v3_req
[ req_distinguished_name ]
countryName_default = DE
stateOrProvinceName_default = NRW
0.organizationName_default = Shea
[ v3_req ]
subjectAltName=${ENV::SAN}
Eine neue CA wird dann mit /etc/pki/tls/misc/CA -newca erzeugt. Dabei werden verschiedene Parameter abgefragt, die relativ selbsterklärend sind. Die "PEM pass phrase" wird genutzt, um den geheimen Schlüssel der CA zu verschlüsseln und entsprechend sicher zu wählen. Beim Signieren muss die pass phrase wieder angegeben werden.
Zertifikate erstellen
Nach dem Aufsetzen der CA kann man mit /etc/pki/tls/misc/CA -newreq Zertifikats-Requests erzeugen. Dabei werden wieder verschiedene Parameter abgefragt.
Wenn man die Zeilen mit req_extensions und subjectAltName in openssl.cnf wie open setzt und die Umgebungsvariable SAN setzt, wird die Extension "Subject Alternative Name" beim Erzeugen von Zertifikats-Requests entsprechend gesetzt. Dies ist z.B. wichtig bei Webservern, die unter verschiedenen Namen erreichbar sind.