OpenSSL

Siehe auch

Der Parameter nodes steht für „No DES“ und erstellt Keys ohne Passwörter.

Warnung

Das auf RHEL 7 vorhandene Shell-Script /etc/pki/tls/certs/make-dummy-cert erstellt CA-Zertifikate mit X509v3 Basic Constraints: CA:TRUE Extension. Solche Zertifikate lassen sich in Apache nicht (mehr) als Zertifikat für einen Virtual Host nutzen, der Apache bricht dann unter Umständen den Reload mit SSL-Fehlern ab (AH01906: localhost:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)).

Diese Art Zertifikate entstehen, wenn folgende Parameter verwendet werden: openssl req -newkey rsa:2048 -keyout /etc/pki/tls/private/test.key -nodes -x509 -days 365 -out /etc/pki/tls/certs/test.pem (sehr viele Anleitungen im Internet nutzen OpenSSL genau so). Unsere Anleitung unten zeigt, wie man „echte“ self-signed Client-Zertifikate erzeugt.

DH Key erstellen

Wird für diverse Software wie OpenVPN & Co. benötigt. DH-Schlüssel werden zur Secret-Aushandlung über eine unsichere Verbindung verwendet, und können und sollten beispielsweise 1x pro Monat automatisch neu generiert werden.

openssl dhparam -out dh4096.pem 4096

Self-signed root-Zertifikat (CA Certificate) erstellen

Das hier erstellte CA-Zertifikat gilt 5 Jahre.

SUBJECT_CA="/C=CH/ST=Zurich/O=Linuxfabrik/OU=Secure Services/CN=Linuxfabrik's Self-signed RootCA"

openssl req -x509 \
    -days 1825 \
    -keyout /etc/pki/tls/private/rootCA.key \
    -new \
    -newkey rsa:4096 \
    -nodes \
    -out /etc/pki/tls/certs/rootCA.pem \
    -sha384 \
    -subj "$SUBJECT_CA"

chmod 0400 /etc/pki/tls/private/rootCA.key
chown root:root /etc/pki/tls/private/rootCA.key

Self-Signed Zertifikat erstellen

Self-Signed Zertifikat erstellen, und von eigener CA signieren lassen.

Das Zertifikat kommt ohne Passwort daher, sinnvoll z.B. für einen Web- oder DB-Server.

1.) Private Key (RSA 4096 bit) und CSR erstellen:

SERVERNAME='localhost'
SUBJECT="/C=CH/ST=Zurich/O=Linuxfabrik/CN=$SERVERNAME"

openssl req \
    -keyout /etc/pki/tls/private/$SERVERNAME.key \
    -newkey rsa:4096 \
    -nodes \
    -out $SERVERNAME.csr \
    -sha384 \
    -subj "$SUBJECT"

chmod 0400 /etc/pki/tls/private/$SERVERNAME.key
chown root:root /etc/pki/tls/private/$SERVERNAME.key

2.) Self-Signed-Zertifikat mit 90 Tagen Laufzeit erstellen und von eigener CA signieren lassen:

openssl x509 \
    -CA /etc/pki/tls/certs/rootCA.pem \
    -CAcreateserial \
    -CAkey /etc/pki/tls/private/rootCA.key \
    -days 90 \
    -in $SERVERNAME.csr \
    -out /etc/pki/tls/certs/$SERVERNAME.pem \
    -req \
    -sha384

Zertifikate überprüfen/ansehen

Chain überprüfen:

CAFILE=/path/to/chain.pem

openssl verify $CAFILE

Zertifikat überprüfen:

CERT=/path/to/mycert.pem

openssl x509 \
    -in $CERT \
    -noout \
    -text

Private Key überprüfen:

PRIVKEY=/path/to/priv.key

openssl rsa \
     -check \
    -in $PRIVKEY

CSR überprüfen:

CERT=/path/to/mycert.pem

openssl req \
    -in $CERT \
    -nameopt sep_multiline \
    -noout \
    -verify

Built on 2022-06-03