OpenSSL Zertifikat - Ubuntu: Unterschied zwischen den Versionen
Peter (Diskussion | Beiträge) K |
Peter (Diskussion | Beiträge) K (→Registrieren) |
||
| (8 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 4: | Zeile 4: | ||
__INDEXIEREN__ | __INDEXIEREN__ | ||
| − | Wir haben uns schon angesehen wie man ein | + | Wir haben uns schon angesehen wie man ein [[OpenSSL Zertifizierungsstelle - Ubuntu|ROOT-Zertifikat]] erstellt. Aber nun werden wir uns ein Zertifikat für diverse Geräte, Server usw. erstellen. |
Ich werde mehrere Szenarien Bereitstellen, welche genutzt, werden ist jedem selbst überlassen, bzw. für eure Umgebung möglich ist. | Ich werde mehrere Szenarien Bereitstellen, welche genutzt, werden ist jedem selbst überlassen, bzw. für eure Umgebung möglich ist. | ||
| − | === '''Manuelles Zertifikat''' === | + | === '''<span style="color:#FF0000">Manuelles Zertifikat</span>''' === |
---- | ---- | ||
| − | ==== '''Pfad''' ==== | + | ==== '''<span style="color:#4682B4">Pfad</span>''' ==== |
Wir werden einen Ordner erstellen, damit wir ein sauberes Dateisystem besitzen.<syntaxhighlight lang="console"> | Wir werden einen Ordner erstellen, damit wir ein sauberes Dateisystem besitzen.<syntaxhighlight lang="console"> | ||
mkdir /etc/ssl/Certificate/ | mkdir /etc/ssl/Certificate/ | ||
</syntaxhighlight> | </syntaxhighlight> | ||
| − | ==== '''Berechtigung''' ==== | + | ==== '''<span style="color:#4682B4">Berechtigung</span>''' ==== |
| − | Ebenso setzen wir wieder Berechtigungen, damit kein Sicherheitsproblem | + | Ebenso setzen wir wieder Berechtigungen, damit kein Sicherheitsproblem vorherrscht<syntaxhighlight lang="console"> |
chmod 700 /etc/ssl/Certificate/ | chmod 700 /etc/ssl/Certificate/ | ||
chown root:root /etc/ssl/Certificate/ | chown root:root /etc/ssl/Certificate/ | ||
</syntaxhighlight> | </syntaxhighlight> | ||
| − | ==== '''Privater Schlüssel''' ==== | + | ==== '''<span style="color:#4682B4">Privater Schlüssel</span>''' ==== |
Zu jedem Zertifikat gehört, auch ein privater Schlüssel.<syntaxhighlight lang="console"> | Zu jedem Zertifikat gehört, auch ein privater Schlüssel.<syntaxhighlight lang="console"> | ||
openssl genrsa -out /etc/ssl/Certificate/cert-key.pem 4096 | openssl genrsa -out /etc/ssl/Certificate/cert-key.pem 4096 | ||
</syntaxhighlight> | </syntaxhighlight> | ||
| − | ==== '''Zertifikat''' ==== | + | ==== '''<span style="color:#4682B4">Zertifikat</span>''' ==== |
So jetzt erstellen wir ein Zertifikat.<syntaxhighlight lang="console"> | So jetzt erstellen wir ein Zertifikat.<syntaxhighlight lang="console"> | ||
openssl req -new -key /etc/ssl/Certificate/cert-key.pem -out /etc/ssl/Certificate/cert.csr -sha512 | openssl req -new -key /etc/ssl/Certificate/cert-key.pem -out /etc/ssl/Certificate/cert.csr -sha512 | ||
</syntaxhighlight> | </syntaxhighlight> | ||
| + | [[Datei:U OpenSSL Cert 1.png|zentriert|gerahmt]] | ||
| − | ==== '''Registrieren''' ==== | + | ==== '''<span style="color:#4682B4">Registrieren</span>''' ==== |
Wir müssen noch das Zertifikat Registrieren beim Root-Zertifikat, damit es als Vertrauenswürdig angesehen wird.<syntaxhighlight lang="console"> | Wir müssen noch das Zertifikat Registrieren beim Root-Zertifikat, damit es als Vertrauenswürdig angesehen wird.<syntaxhighlight lang="console"> | ||
openssl x509 -req -in /etc/ssl/Certificate/cert.csr -CA /etc/ssl/root/ca-root.pem -CAkey /etc/ssl/root/ca-root-key.pem -CAcreateserial -out /etc/ssl/Certificate/test.pem -days 3650 -sha512 | openssl x509 -req -in /etc/ssl/Certificate/cert.csr -CA /etc/ssl/root/ca-root.pem -CAkey /etc/ssl/root/ca-root-key.pem -CAcreateserial -out /etc/ssl/Certificate/test.pem -days 3650 -sha512 | ||
</syntaxhighlight> | </syntaxhighlight> | ||
| − | ==== '''Konvertieren''' ==== | + | ==== '''<span style="color:#4682B4">Konvertieren</span>''' ==== |
Wie jedes Zertifikat benötigen wir ein allgemein gültiges Format. Weiter unten möchte ich euch Darstellen, wie Sie in mehreren Formaten konvertieren.<syntaxhighlight lang="console"> | Wie jedes Zertifikat benötigen wir ein allgemein gültiges Format. Weiter unten möchte ich euch Darstellen, wie Sie in mehreren Formaten konvertieren.<syntaxhighlight lang="console"> | ||
openssl x509 -in /etc/ssl/Certificate/test.pem -outform der -out /etc/ssl/Certificate/test.crt | openssl x509 -in /etc/ssl/Certificate/test.pem -outform der -out /etc/ssl/Certificate/test.crt | ||
</syntaxhighlight> | </syntaxhighlight> | ||
| + | |||
| + | ==== '''<span style="color:#4682B4"> Finish</span>''' ==== | ||
| + | Wir haben nun das Zertifikat, jetzt müssen wir es nur noch einspielen auf dem Gerät, wir es erzeugt haben. | ||
| + | [[Datei:U OpenSSL Cert 2.png|zentriert|gerahmt]] | ||
| + | |||
| + | === <span style="color:#FF0000">'''Zertifikat mit Konfigurationsdatei'''</span> === | ||
| + | ---- | ||
| + | ==== '''<span style="color:#4682B4">Pfad</span>''' ==== | ||
| + | Wir werden einen Ordner erstellen, damit wir ein sauberes Dateisystem besitzen.<syntaxhighlight lang="console"> | ||
| + | mkdir /etc/ssl/Certificate/ | ||
| + | </syntaxhighlight> | ||
| + | |||
| + | ==== '''<span style="color:#4682B4">Berechtigung</span>''' ==== | ||
| + | Ebenso setzen wir wieder Berechtigungen, damit kein Sicherheitsproblem vorherrscht<syntaxhighlight lang="console"> | ||
| + | chmod 700 /etc/ssl/Certificate/ | ||
| + | chown root:root /etc/ssl/Certificate/ | ||
| + | </syntaxhighlight> | ||
| + | |||
| + | ==== '''<span style="color:#4682B4">Privater Schlüssel</span>''' ==== | ||
| + | Zu jedem Zertifikat gehört, auch ein privater Schlüssel.<syntaxhighlight lang="console"> | ||
| + | openssl genrsa -out /etc/ssl/Certificate/cert-key.pem 4096 | ||
| + | </syntaxhighlight> | ||
| + | |||
| + | ==== '''<span style="color:#4682B4">Konfigurationsdatei</span>''' ==== | ||
| + | Wir werden eine Konfigurationsdatei erstellen und editieren.<syntaxhighlight lang="console"> | ||
| + | nano /etc/ssl/req.conf | ||
| + | </syntaxhighlight> | ||
| + | |||
| + | ===== '''<span style="color:#4682B4">Vorlage</span>''' ===== | ||
| + | <syntaxhighlight lang="vim"> | ||
| + | [req] | ||
| + | distinguished_name = req_distinguished_name | ||
| + | req_extensions = v3_req | ||
| + | prompt = no | ||
| + | [req_distinguished_name] | ||
| + | C = AT | ||
| + | ST = Austria | ||
| + | L = Austria | ||
| + | O = LIFE-SESSIONS | ||
| + | OU = LIFE-SESSIONS | ||
| + | CN = test.local | ||
| + | [v3_req] | ||
| + | keyUsage = keyEncipherment, dataEncipherment | ||
| + | extendedKeyUsage = serverAuth | ||
| + | subjectAltName = @alt_names | ||
| + | [alt_names] | ||
| + | DNS.1 = test.local | ||
| + | DNS.2 = test-1.local | ||
| + | IP.1 =192.168.0.1 | ||
| + | </syntaxhighlight> | ||
| + | |||
| + | ==== '''<span style="color:#4682B4">Zertifikat</span>''' ==== | ||
| + | So jetzt erstellen wir ein Zertifikat.<syntaxhighlight lang="console"> | ||
| + | openssl req -new -key /etc/ssl/Certificate/cert-key.pem -out /etc/ssl/Certificate/cert.csr -sha512 -config /etc/ssl/req.conf | ||
| + | </syntaxhighlight> | ||
| + | |||
| + | ==== '''<span style="color:#4682B4">Registrieren</span>''' ==== | ||
| + | Wir müssen noch das Zertifikat Registrieren beim Root-Zertifikat, damit es als Vertrauenswürdig angesehen wird.<syntaxhighlight lang="console"> | ||
| + | openssl x509 -req -in /etc/ssl/Certificate/cert.csr -CA /etc/ssl/root/ca-root.pem -CAkey /etc/ssl/root/ca-root-key.pem -CAcreateserial -out /etc/ssl/Certificate/test.pem -days 3650 -sha512 | ||
| + | </syntaxhighlight> | ||
| + | |||
| + | ==== '''<span style="color:#4682B4">Konvertieren</span>''' ==== | ||
| + | Wie jedes Zertifikat benötigen wir ein allgemein gültiges Format. Weiter unten möchte ich euch Darstellen, wie Sie in mehreren Formaten konvertieren.<syntaxhighlight lang="console"> | ||
| + | openssl x509 -in /etc/ssl/Certificate/test.pem -outform der -out /etc/ssl/Certificate/test.crt | ||
| + | </syntaxhighlight> | ||
| + | |||
| + | ==== '''<span style="color:#4682B4"> Finish</span>''' ==== | ||
| + | Wir haben nun das Zertifikat, jetzt müssen wir es nur noch einspielen auf dem Gerät, wir es erzeugt haben. | ||
| + | [[Datei:U OpenSSL Cert 2.png|zentriert|gerahmt]] | ||
Aktuelle Version vom 8. November 2020, 15:29 Uhr
Wir haben uns schon angesehen wie man ein ROOT-Zertifikat erstellt. Aber nun werden wir uns ein Zertifikat für diverse Geräte, Server usw. erstellen.
Ich werde mehrere Szenarien Bereitstellen, welche genutzt, werden ist jedem selbst überlassen, bzw. für eure Umgebung möglich ist.
Manuelles Zertifikat[Bearbeiten | Quelltext bearbeiten]
Pfad[Bearbeiten | Quelltext bearbeiten]
Wir werden einen Ordner erstellen, damit wir ein sauberes Dateisystem besitzen.
mkdir /etc/ssl/Certificate/
Berechtigung[Bearbeiten | Quelltext bearbeiten]
Ebenso setzen wir wieder Berechtigungen, damit kein Sicherheitsproblem vorherrscht
chmod 700 /etc/ssl/Certificate/
chown root:root /etc/ssl/Certificate/
Privater Schlüssel[Bearbeiten | Quelltext bearbeiten]
Zu jedem Zertifikat gehört, auch ein privater Schlüssel.
openssl genrsa -out /etc/ssl/Certificate/cert-key.pem 4096
Zertifikat[Bearbeiten | Quelltext bearbeiten]
So jetzt erstellen wir ein Zertifikat.
openssl req -new -key /etc/ssl/Certificate/cert-key.pem -out /etc/ssl/Certificate/cert.csr -sha512
Registrieren[Bearbeiten | Quelltext bearbeiten]
Wir müssen noch das Zertifikat Registrieren beim Root-Zertifikat, damit es als Vertrauenswürdig angesehen wird.
openssl x509 -req -in /etc/ssl/Certificate/cert.csr -CA /etc/ssl/root/ca-root.pem -CAkey /etc/ssl/root/ca-root-key.pem -CAcreateserial -out /etc/ssl/Certificate/test.pem -days 3650 -sha512
Konvertieren[Bearbeiten | Quelltext bearbeiten]
Wie jedes Zertifikat benötigen wir ein allgemein gültiges Format. Weiter unten möchte ich euch Darstellen, wie Sie in mehreren Formaten konvertieren.
openssl x509 -in /etc/ssl/Certificate/test.pem -outform der -out /etc/ssl/Certificate/test.crt
Finish[Bearbeiten | Quelltext bearbeiten]
Wir haben nun das Zertifikat, jetzt müssen wir es nur noch einspielen auf dem Gerät, wir es erzeugt haben.
Zertifikat mit Konfigurationsdatei[Bearbeiten | Quelltext bearbeiten]
Pfad[Bearbeiten | Quelltext bearbeiten]
Wir werden einen Ordner erstellen, damit wir ein sauberes Dateisystem besitzen.
mkdir /etc/ssl/Certificate/
Berechtigung[Bearbeiten | Quelltext bearbeiten]
Ebenso setzen wir wieder Berechtigungen, damit kein Sicherheitsproblem vorherrscht
chmod 700 /etc/ssl/Certificate/
chown root:root /etc/ssl/Certificate/
Privater Schlüssel[Bearbeiten | Quelltext bearbeiten]
Zu jedem Zertifikat gehört, auch ein privater Schlüssel.
openssl genrsa -out /etc/ssl/Certificate/cert-key.pem 4096
Konfigurationsdatei[Bearbeiten | Quelltext bearbeiten]
Wir werden eine Konfigurationsdatei erstellen und editieren.
nano /etc/ssl/req.conf
Vorlage[Bearbeiten | Quelltext bearbeiten]
[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no
[req_distinguished_name]
C = AT
ST = Austria
L = Austria
O = LIFE-SESSIONS
OU = LIFE-SESSIONS
CN = test.local
[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = test.local
DNS.2 = test-1.local
IP.1 =192.168.0.1
Zertifikat[Bearbeiten | Quelltext bearbeiten]
So jetzt erstellen wir ein Zertifikat.
openssl req -new -key /etc/ssl/Certificate/cert-key.pem -out /etc/ssl/Certificate/cert.csr -sha512 -config /etc/ssl/req.conf
Registrieren[Bearbeiten | Quelltext bearbeiten]
Wir müssen noch das Zertifikat Registrieren beim Root-Zertifikat, damit es als Vertrauenswürdig angesehen wird.
openssl x509 -req -in /etc/ssl/Certificate/cert.csr -CA /etc/ssl/root/ca-root.pem -CAkey /etc/ssl/root/ca-root-key.pem -CAcreateserial -out /etc/ssl/Certificate/test.pem -days 3650 -sha512
Konvertieren[Bearbeiten | Quelltext bearbeiten]
Wie jedes Zertifikat benötigen wir ein allgemein gültiges Format. Weiter unten möchte ich euch Darstellen, wie Sie in mehreren Formaten konvertieren.
openssl x509 -in /etc/ssl/Certificate/test.pem -outform der -out /etc/ssl/Certificate/test.crt
Finish[Bearbeiten | Quelltext bearbeiten]
Wir haben nun das Zertifikat, jetzt müssen wir es nur noch einspielen auf dem Gerät, wir es erzeugt haben.

