OpenSSL
Allgemeine Befehle
Zertifikatsinhalt anzeigen:
openssl x509 -noout -text -in DATEI
Zertifikate erzeugen mit OpenSSL
CA aufsetzen, allgemeine Konfiguration
Ich bin der Debian-Anleitung gefolgt.
Die Pfade ensprechen der Konfiguration von Fedora.
/etc/pki/tls/misc/CA ist ein Hilfs-Skript, dass als Wrapper die Aufrufe von OpenSSL vereinfacht. Dieses Skript muss ggf. angepasst werden, damit es den eigenen Wünschen entspricht, z.B.
DAYS="-days 1825" CADAYS="-days 3650"
Außerdem muss /etc/pki/tls/openssl.cnf angepasst werden.
Hier kann man z.B. Vorgaben für Requests machen, z.B.
[ CA_default ]
default_days = 1825
[ req ]
default_bits = 2048
req_extensions = v3_req
[ req_distinguished_name ]
countryName_default = DE
stateOrProvinceName_default = NRW
0.organizationName_default = Shea
[ v3_req ]
subjectAltName=${ENV::SAN}
Eine neue CA wird dann mit /etc/pki/tls/misc/CA -newca erzeugt. Dabei werden verschiedene Parameter abgefragt, die relativ selbsterklärend sind. Die "PEM pass phrase" wird genutzt, um den geheimen Schlüssel der CA zu verschlüsseln und entsprechend sicher zu wählen. Beim Signieren muss die pass phrase wieder angegeben werden.
Zertifikate erstellen
Nach dem Aufsetzen der CA kann man mit /etc/pki/tls/misc/CA -newreq Zertifikats-Requests erzeugen. Dabei werden wieder verschiedene Parameter abgefragt.
Wenn man die Zeilen mit req_extensions und subjectAltName in openssl.cnf wie open setzt und die Umgebungsvariable SAN setzt, wird die Extension "Subject Alternative Name" beim Erzeugen von Zertifikats-Requests entsprechend gesetzt. Dies ist z.B. wichtig bei Webservern, die unter verschiedenen Namen erreichbar sind.