OpenSSL

Aus Shea Wiki
Zur Navigation springen Zur Suche springen

Allgemeine Befehle

Zertifikatsinhalt anzeigen:

openssl x509 -noout -text -in DATEI


Zertifikate erzeugen mit OpenSSL

CA aufsetzen, allgemeine Konfiguration

Ich bin der Debian-Anleitung gefolgt.

Die Pfade ensprechen der Konfiguration von Fedora.

/etc/pki/tls/misc/CA ist ein Hilfs-Skript, dass als Wrapper die Aufrufe von OpenSSL vereinfacht. Dieses Skript muss ggf. angepasst werden, damit es den eigenen Wünschen entspricht, z.B.

DAYS="-days 1825"
CADAYS="-days 3650"


Außerdem muss /etc/pki/tls/openssl.cnf angepasst werden. Hier kann man z.B. Vorgaben für Requests machen, z.B.

[ CA_default ]
default_days = 1825

[ req ]
default_bits = 2048
req_extensions = v3_req

[ req_distinguished_name ]
countryName_default             = DE
stateOrProvinceName_default     = NRW
0.organizationName_default      = Shea

[ v3_req ]
subjectAltName=${ENV::SAN}


Eine neue CA wird dann mit /etc/pki/tls/misc/CA -newca erzeugt. Dabei werden verschiedene Parameter abgefragt, die relativ selbsterklärend sind. Die "PEM pass phrase" wird genutzt, um den geheimen Schlüssel der CA zu verschlüsseln und entsprechend sicher zu wählen. Beim Signieren muss die pass phrase wieder angegeben werden.

Zertifikate erstellen

Nach dem Aufsetzen der CA kann man mit /etc/pki/tls/misc/CA -newreq Zertifikats-Requests erzeugen. Dabei werden wieder verschiedene Parameter abgefragt.

Wenn man die Zeilen mit req_extensions und subjectAltName in openssl.cnf wie open setzt und die Umgebungsvariable SAN setzt, wird die Extension "Subject Alternative Name" beim Erzeugen von Zertifikats-Requests entsprechend gesetzt. Dies ist z.B. wichtig bei Webservern, die unter verschiedenen Namen erreichbar sind.


KategorieWissen