Zertifizierungsstelle einrichten (OpenSSL)

Dieser Artikel beschreibt, wie Debian GNU/Linux eine selbst signierte Stamm-Zertifizierungsstelle (Root CA = Certificate Authority) auf Basis von OpenSSL erstellt wird.

Eine Zertifizierungsstelle setzt sich aus einem privaten Schlüssel und einem selbst signierten Zertifikat zusammen. Siehe auch: Grundlagen der PKI

achfolgend werden die Schritte beschrieben, um beides zu erstellen.

Vorbereitungen

Verzeichnisse für CA anlegen, z. B.:

# mkdir /root/ca
# cd /root/ca
# mkdir certs crl csr newcerts private
# chmod 700 private 
# touch index.txt
# touch index.txt.attr
# echo 1000 > serial 

Konfiguration anpassen

Die Konfigurationsdatei für OpenSSL befindet sich Standardmäßig unter /usr/lib/ssl/openssl.cnf

Unter Debian findet sich die Default-Konfigurationsdatei für OpenSSL unter /etc/ssl/openssl.cnf

Sie kann für die eigenen Zwecke angepasst werden, z. B. indem die Default-Werte für bestimmte Felder gesetzt werden. Nachfolgend ein paar Beispiele:

Pfade für die Zertifizierungsstelle und ihre Unterverzeichnisse und Standard-Zeiträume festlegen:

[ CA_default ]
 
dir		= /root/ca		# Where everything is kept
certs		= $dir/certs		# Where the issued certs are kept
crl_dir		= $dir/crl		# Where the issued crl are kept
database	= $dir/index.txt	# database index file.
 
new_certs_dir	= $dir/newcerts		# default place for new certs.
 
certificate	= $dir/cacert.pem 	# The CA certificate
serial		= $dir/serial 		# The current serial number
crlnumber	= $dir/crlnumber	# the current crl number
 
crl		= $dir/crl.pem 		# The current CRL
private_key	= $dir/private/cakey.pem# The private key
RANDFILE	= $dir/private/.rand	# private random number file
 
...
 
default_days	= 365			# how long to certify for
default_crl_days= 30			# how long before next CRL
default_md	= default		# use public key default MD
preserve	= no			# keep passed DN ordering

Vorgabewerte für Land, Region und Organisation festlegen:

[ req_distinguished_name ]
countryName			= Country Name (2 letter code)
countryName_default		= AU
countryName_min			= 2
countryName_max			= 2
 
stateOrProvinceName		= State or Province Name (full name)
stateOrProvinceName_default	= Some-State
 
localityName			= Locality Name (eg, city)
 
0.organizationName		= Organization Name (eg, company)
0.organizationName_default	= Internet Widgits Pty Ltd
 
organizationalUnitName		= Organizational Unit Name (eg, section)
#organizationalUnitName_default	=

Schlüssel für Zertifizierungsstelle (Root CA) erstellen

Zunächst wird ein privater Schlüssel für die Zertifizierungsstelle erstellt.

Seine Schlüssellänge sollte so angesetzt werden, dass sie in der Gültigkeitsdauer des Zertifizierungsstellen-Zertifikats ausreichend Sicherheit verspricht.

Für eine Gültigkeitszeit von 10 Jahren sind 2048 Bit im Jahr 2017 vermutlich zu wenig und daher sollte eher eine Schlüssellänge von 4096 Bit benutzt werden.

Der private Schlüssel der Zertifizierungsstelle sollte mit dem Parameter -aes256 verschlüsselt werden und mit einem starken Passwort gesichert werden.

# cd /root/ca
# openssl genrsa -aes256 -out private/cakey.pem 4096

Zugriff auf den Schlüssel einschränken:

# chmod 400 private/cakey.pem

Der private Schlüssel sollte geheim gehalten werden, da mit ihm die Glaubwürdigkeit der ausgestellten Zertifikate steht und fällt.

Idealerweise sollte der Schlüssel auf einer Maschine ohne Internet-Zugang offline gehalten werden.

Zertifikat selbst signieren

Für den erstellten privaten Schlüssel der Zertifizierungsstelle (Root CA) ein Zertifikat erstellen und dieses selbst signieren:

# openssl req -new -x509 -days 3650 -sha512 -key private/cakey.pem -out cacert.pem

Zugriff auf das Stammstellen-Zertifikat einschränken:

# chmod 444 cacert.pem

Für das Ausstellen von Computer- und Benutzer-Zertifikaten selbst sollten aus sicherheitsgründen Zwischen-Zertifizierungsstellen verwendet werden.

Zertifikat überprüfen

Beim erstellten Zertifikat sollten folgende Informationen überprüft werden:

  • Signature Algorithm
  • Validity Not Before und Not After
  • Public Key Algorithm und Länge des Public Key
  • Issuer
  • Subject
  • X509v3 Extensions (v3_ca)

Diese können folgendermaßen ausgegeben werden:

# openssl x509 -noout -text -in certs/ca.cert.pem

SHA-256 Fingerprint ausgeben:

openssl x509 -noout -fingerprint -sha256 -in certs/ca.cert.pem

SHA-1 Fingerprint ausgeben:

openssl x509 -noout -fingerprint -sha1 -in certs/ca.cert.pem

Zwischen-Zertifizierungsstelle (Intermediate CA) erstellen

Todo

Computer- und Benutzer-Zertifikate erstellen

Die Erstellung von Computer- und Benutzer-Zertifikaten wird in folgendem Artikel beschrieben: Zertifikate erstellen (OpenSSL)

Quellen