OpenSSL Zertifizierungsstelle - Ubuntu: Unterschied zwischen den Versionen

Aus FAQ LIFE-SESSIONS
Zeile 25: Zeile 25:
 
openssl genrsa -aes256 -out /etc/ssl/root/ca-root-key.pem 4096
 
openssl genrsa -aes256 -out /etc/ssl/root/ca-root-key.pem 4096
 
</syntaxhighlight>
 
</syntaxhighlight>
|{ class=" wikitable sortable" style="width: 100%;"
+
{| class=" wikitable sortable" style="width: 100%;"
 
|+genrsa
 
|+genrsa
 
!Wert
 
!Wert

Version vom 8. November 2020, 12:30 Uhr


Hier möchte ich euch zeigen, wie man ein ROOT-Zertifikat und ein dazugehöriges Zertifikat erstellt. Dies kann man Super im Intranet oder Lokalen Netzwerk verwenden. Damit es keinen Zertifizierungsfehler gibt. Da Google Chrome immer mehr das Zertifikat, das nicht vertrauenswürdigen Zertifikate gesperrt werden. Meiner Meinung eignet sich Linux bzw. Ubuntu super dazu.

Für Ubuntu-Server fallen keine Lizenzkosten an, dass bei einem Windows-Server, Red Hat usw. natürlich schon ist. Ebenso ist die Geschwindigkeit, wenn man einem Zertifikat vorbereitet hat, einfach ungeschlagen. Ein weiterer Grund, man spart sehr viel Ressourcen, mit dem RAM und der CPU, denn es empfiehlt sich, nach dem man ein Zertifikat erstellt hat, den Server einfach herunter zufahren. Dies ist aus Sicherheitsgründen empfehlenswert, den ohne dem Root Zertifizierungsstelle kann man kein Zertifikat ausstellen bzw. auch fälschen.

Update [Bearbeiten | Quelltext bearbeiten]


Wir werden ein Update durchführen damit wir genau wissen, dass wir die neueste Version von OpenSSL installiert wird., im Grunde ist es bei Ubuntu-Server OpenSSL als Standard Repository enthalten.

apt update
apt -y upgrade

Versionskontrolle [Bearbeiten | Quelltext bearbeiten]

openssl version -a
U Openssl 1.png

ROOT Zertifikat [Bearbeiten | Quelltext bearbeiten]


Wir werden nun ein Root Zertifikat erstellen. Zuerst erstellen wir einen Ordner, mit dem wir in Zukunft arbeiten.

mkdir /etc/ssl/root/

Einen Private KEY wird benötigt, darauf setzt das Zertifikat auf. (ACHTUNG! Private KEY immer geheim halten, damit kann Zertifikate fälschen).

openssl genrsa -aes256 -out /etc/ssl/root/ca-root-key.pem 4096
genrsa
Wert Beschreibung
-help Drucken Sie eine Nutzungsnachricht aus.
-out filename Geben Sie den Schlüssel in die angegebene Datei aus. Wenn dieses Argument nicht angegeben wird, wird die Standardausgabe verwendet.
-passout arg Gibt die Kennwortquelle für die Ausgabedatei an. Weitere Informationen zum Format von arg finden Sie im Abschnitt PASS PHRASE ARGUMENTS auf der openssl-Referenzseite.
-aes128|-aes192|-aes256|-aria128|-aria192|-aria256|-camellia128|-camellia192|-camellia256|-des|-des3|-idea Diese Optionen verschlüsseln den privaten Schlüssel mit der angegebenen Verschlüsselung, bevor er ausgegeben wird. Wenn keine dieser Optionen angegeben ist, wird keine Verschlüsselung verwendet. Wenn eine Verschlüsselung verwendet wird, wird eine Passphrase abgefragt, wenn diese nicht über das Argument -passout angegeben wird.
-F4|-3 Der zu verwendende öffentliche Exponent, entweder 65537 oder 3. Der Standardwert ist 65537.
-rand file(s) Eine Datei oder Dateien mit zufälligen Daten, die zum Setzen des Zufallszahlengenerators verwendet werden. Es können mehrere Dateien angegeben werden, die durch ein betriebssystemabhängiges Zeichen getrennt sind. Das Trennzeichen ist; für MS-Windows ,, für OpenVMS und: für alle anderen.
-writerand file Schreibt beim Beenden zufällige Daten in die angegebene Datei. Dies kann mit einem nachfolgenden -rand-Flag verwendet werden.
-engine id Wenn Sie eine Engine (anhand ihrer eindeutigen ID-Zeichenfolge) angeben, versucht genrsa, eine Funktionsreferenz für die angegebene Engine abzurufen, und initialisiert sie bei Bedarf. Die Engine wird dann als Standard für alle verfügbaren Algorithmen festgelegt.
-primes num Geben Sie die Anzahl der Primzahlen an, die beim Generieren des RSA-Schlüssels verwendet werden sollen. Der Parameter num muss eine positive Ganzzahl sein, die größer als 1 und kleiner als 16 ist. Wenn num größer als 2 ist, wird der generierte Schlüssel als 'Multi-Prime'-RSA-Schlüssel bezeichnet, der in RFC 8017 definiert ist.
numbits Die Größe des privaten Schlüssels, der in Bits generiert werden soll. Dies muss die zuletzt angegebene Option sein. Der Standardwert ist 2048, und Werte unter 512 sind nicht zulässig.
U Openssl 2.png