Zertifikate erstellen (OpenSSL): Unterschied zwischen den Versionen
Matt (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
Matt (Diskussion | Beiträge) |
||
| Zeile 2: | Zeile 2: | ||
Die Erstellung einer solchen, selbst signierten Zertifizierungsstelle, ist beschrieben in: [[Zertifizierungsstelle einrichten (OpenSSL)]] | Die Erstellung einer solchen, selbst signierten Zertifizierungsstelle, ist beschrieben in: [[Zertifizierungsstelle einrichten (OpenSSL)]] | ||
Das Grundsätzliche Vorgehen zur Erstellung von Zertifikaten wird hier beschrieben: [[Grundlagen der PKI]] | |||
Einsatzmöglichkeiten: | Einsatzmöglichkeiten: | ||
* Serververbindungen mit TLS absichern | * Serververbindungen mit TLS absichern (Computerzertifikate) | ||
* Clients für den Zugriff auf Server mit Zertifikat authentifizieren. | * Clients für den Zugriff auf Server mit Zertifikat authentifizieren. | ||
==Computer-Zertifikat erstellen== | |||
== | === Privaten Schlüssel erstellen === | ||
Privaten Schlüssel "cert.key" mit Schlüssellänge 2048 Byte erstellen: | Privaten Schlüssel "cert.key" mit Schlüssellänge 2048 Byte erstellen: | ||
openssl genrsa -out | cd /dir-to-ca/ | ||
openssl genrsa -out private/computer.key.pem 2048 | |||
chmod 400 private/computer.key.pem | |||
Wenn der Schlüssel für einen Webserver verwendet werden soll, dann empfiehlt es sich, auf den Parameter <code>-aes256</code> zu verzichten, da sonst bei einem Serverneustart das Passwort abgefragt wird, und diese Frage üblicherweise kein User beantworten kann. | |||
Es ist wichtig, als Common Name den Hostnamen des Servers einzugeben. Als Anhaltspunkt kann der Name verwendet werden, der im Browser für den Zugriff auf den Server verwendet wird. Dies kann der Servername im lokalen Netzwerk, der Full Qualified Domain Name (FQDN) oder die IP-Adresse des Servers sein. | |||
=== Zertifizierungsanfrage erstellen === | |||
Zertifikatsanfrage (CSR = Certificate Signing Request) erstellen: | Zertifikatsanfrage (CSR = Certificate Signing Request) erstellen: | ||
openssl req -new -key | openssl req -new -key private/computer.key.pem -out certs/computer.csr -sha256 | ||
=== Zertifikat signieren === | |||
[[Kategorie:Kryptographie]] | [[Kategorie:Kryptographie]] | ||
[[Kategorie:Terminal]] | |||
[[Kategorie:OpenSSL]] | |||
[[Kategorie:OpenSSL]] | |||
Version vom 1. September 2017, 15:26 Uhr
Dieser Artikel beschäftigt sich damit, wie mit OpenSSL Schlüssel und Computer- oder Benutzer-Zertifikate erstellt werden können. Hierfür wird eine Zertifizierungsstelle benötigt.
Die Erstellung einer solchen, selbst signierten Zertifizierungsstelle, ist beschrieben in: Zertifizierungsstelle einrichten (OpenSSL)
Das Grundsätzliche Vorgehen zur Erstellung von Zertifikaten wird hier beschrieben: Grundlagen der PKI
Einsatzmöglichkeiten:
- Serververbindungen mit TLS absichern (Computerzertifikate)
- Clients für den Zugriff auf Server mit Zertifikat authentifizieren.
Computer-Zertifikat erstellen
Privaten Schlüssel erstellen
Privaten Schlüssel "cert.key" mit Schlüssellänge 2048 Byte erstellen:
cd /dir-to-ca/ openssl genrsa -out private/computer.key.pem 2048 chmod 400 private/computer.key.pem
Wenn der Schlüssel für einen Webserver verwendet werden soll, dann empfiehlt es sich, auf den Parameter -aes256 zu verzichten, da sonst bei einem Serverneustart das Passwort abgefragt wird, und diese Frage üblicherweise kein User beantworten kann.
Es ist wichtig, als Common Name den Hostnamen des Servers einzugeben. Als Anhaltspunkt kann der Name verwendet werden, der im Browser für den Zugriff auf den Server verwendet wird. Dies kann der Servername im lokalen Netzwerk, der Full Qualified Domain Name (FQDN) oder die IP-Adresse des Servers sein.
Zertifizierungsanfrage erstellen
Zertifikatsanfrage (CSR = Certificate Signing Request) erstellen:
openssl req -new -key private/computer.key.pem -out certs/computer.csr -sha256
