Eigene CA (Zertifizierungsstelle) erstellen und Zertifikate ausstellen – Debian

Da die großen und bekannten Zertifizierungsstellen (CA) meist alle in Amerika sitzen, möchte ich einfach mal zeigen, wie man relativ schnell seine eigene Zertifizierungsstelle erstellen kann und wie man dann ein Zertifikat erstellt und signiert.

Grundlegendes:

  1. OpenSSL installieren:
  2. Verzeichnis für das CA erstellen und reinwechseln
  3. Benötigte Ordner für das CA erstellen:
  4. Damit beim Signieren keine Fehler auftauchen (da wir gleich nicht umbedingt alles ausfüllen möchten), muss in der „/usr/lib/ssl/openssl.cnf“ Datei was angepasst werden:

    supplied = muss ausgefüllt sein, optional = muss nicht ;)

Certificate Authority/Zertifizierungsstelle generieren:

  1. Ich nehme hier 3650 Tage – also 10 Jahre. Wenn die 10 Jahre abgelaufen sind, werden auch somit alle signierten Zertifikate ungülig!

    Beispiel (der . bedeutet das dort nichts erscheint):

Das eigentliche Zertifikat für den E-Mail Server (postfix) oder Webserver (apache2) erstellen (hier für Postfix):

  1. Certificate Signing Request (CSR) erzeugen (auch wieder 10 Jahre, mach ich immer so ;) )

    Beispiel:
  2. Nun das CSR signieren:
  3. So nun wärs das schon, jetzt kann man noch testen ob das Zertifikat in Verbindung mit dem CA Gültig ist:

Umwandeln/konvertieren:

Das CA Zertifikat liegt im .pem Format vor. Microsoft möchte gerne ein anderen Format, also falls nötig kann man das mit folgendem Befehl umwandeln:


oder


Wenn man das .p7b Format benötigt, dann:


Stammzertifikate importieren:

Bei Windows:

  1. Start > Ausführen > certmgr.msc eingeben und Enter
  2. dort dann Rechte Maustaste auf „Vertrauenswürdige Stammzertifiezierungsstellen“ > Alle aufgaben > importieren ..

Bei Debian:

  1. Das Zertifikat (sollte .csr sein) nach „/usr/share/ca-certificates“ kopieren
  2. „dpkg-reconfigure ca-certificates“ ausführen, die erste Frage mit „JA“ bestätigen und dann dort das CA/die Zertifizierungsstelle auswählen und auf „OK“. Fertig

Viel spaß, hoffe ich konnte helfen http://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_good.gif

Hinterlasse einen Kommentar

*

https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_bye.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_good.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_negative.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_scratch.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_wacko.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_yahoo.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_cool.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_heart.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_rose.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_smile.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_whistle3.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_yes.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_cry.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_mail.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_sad.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_unsure.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_wink.gif