OpenSSL
Allgemeine Befehle
Zertifikatsinhalt anzeigen:
openssl x509 -noout -text -in DATEI
Zertifikate erzeugen mit OpenSSL
Ich bin der Debian-Anleitung gefolgt.
Die Pfade ensprechen der Konfiguration von Fedora.
/etc/pki/tls/misc/CA ist ein Hilfs-Skript, dass als Wrapper die Aufrufe von OpenSSL vereinfacht. Dieses Skript muss ggf. angepasst werden, damit es den eigenen Wünschen entspricht, z.B.
DAYS="-days 1825" CADAYS="-days 3650"
Außerdem muss /etc/pki/tls/openssl.cnf angepasst werden.
Hier kann man z.B. Vorgaben für Requests machen, z.B.
[ CA_default ]
default_days = 1825
[ req ]
default_bits = 2048
[ req_distinguished_name ]
countryName_default = DE
stateOrProvinceName_default = NRW
0.organizationName_default = Shea
[ v3_req ]
subjectAltName=${ENV::SAN}
Eine neue CA wird dann mit /etc/pki/tls/misc/CA -newc erzeugt.
Danach kann man mit /etc/pki/tls/misc/CA -newreq Zertifikats-Requests erzeugen.
Wenn man die subjectAltName-Zeile in openssl.cnf wie open setzt und die Umgebungsvariable SAN setzt, wird die Extension "Subject Alternative Name" dabei entsprechend gesetzt.