OpenSSL

Aus Shea Wiki
Zur Navigation springen Zur Suche springen

Allgemeine Befehle

Zertifikatsinhalt anzeigen:

openssl x509 -noout -text -in DATEI


Zertifikate erzeugen mit OpenSSL

Ich bin der Debian-Anleitung gefolgt.

Die Pfade ensprechen der Konfiguration von Fedora.

/etc/pki/tls/misc/CA ist ein Hilfs-Skript, dass als Wrapper die Aufrufe von OpenSSL vereinfacht. Dieses Skript muss ggf. angepasst werden, damit es den eigenen Wünschen entspricht, z.B.

DAYS="-days 1825"
CADAYS="-days 3650"


Außerdem muss /etc/pki/tls/openssl.cnf angepasst werden. Hier kann man z.B. Vorgaben für Requests machen, z.B.

[ CA_default ]
default_days = 1825

[ req ]
default_bits = 2048

[ req_distinguished_name ]
countryName_default             = DE
stateOrProvinceName_default     = NRW
0.organizationName_default      = Shea

[ v3_req ]
subjectAltName=${ENV::SAN}


Eine neue CA wird dann mit /etc/pki/tls/misc/CA -newc erzeugt.

Danach kann man mit /etc/pki/tls/misc/CA -newreq Zertifikats-Requests erzeugen.

Wenn man die subjectAltName-Zeile in openssl.cnf wie open setzt und die Umgebungsvariable SAN setzt, wird die Extension "Subject Alternative Name" dabei entsprechend gesetzt.


KategorieWissen