menü

status

online seit 5764 tagen
letztes update am
28. November, 14:45

kalender

April 2006
Mo
Di
Mi
Do
Fr
Sa
So
 
 
 
 
 
 1 
 4 
 5 
 6 
 7 
 8 
10
12
13
15
16
17
18
19
20
22
24
25
27
28
29
30
 

aktuelles

Ich lebe noch!
nighthawk - 28.11. 14:45
Nach langer Zeit ...
nighthawk - 04.10. 23:09
Lösungen vom draufgucken
nighthawk - 27.02. 22:30
Mal 'was neues
nighthawk - 26.01. 22:29
Ganz Münster auf dem Aasee
nighthawk - 11.01. 20:17

historisches

suche

 

buttonmania

xml version of this page

paRSS - Feews! for the rest of us

startseite > Mittwoch, 26.04.2006


Mittwoch, 26. April 2006

CA signierte SSL Zertifikate


nachdem ich letzte nacht mal wieder verschiedenen howtos durchprobiert habe um ssl zertifikate zu fuer meinen apache und die mailservergeschichten (wir erinnern uns) erstellen, die nicht nur selbstsigniert sind, sondern von einer eigenen certificate authority und - wie jedes mal - zunaechst klaeglich gescheitert bin, hier nun - u.a. fuer mich selber zum merken - eine kurzanleitung. grosse teile wurden aus diesem wiki entnommen.
zunaechst mal muss man ein paar aenderungen im abschnitt [ CA_default ] der openssl.cnf vornehmen:
dir = /root/CA
...
#crlnumber = $dir/crlnumber
...
default_days = 1825
...
default_md = md5
danach fuehrt man die folgenden befehle aus, um seine root CA zu erstellen und zu signieren:

$ openssl genrsa -des3 -out /root/CA/private/cakey.pem 1024
$ openssl req -new -days 1825 -key /root/CA/private/cakey.pem -x509 -out /root/CA/cacert.pem

mit dem naechsten befehl konvertiert man das zertifikat in ein windows-lesbares format, damit man zuhause auch wirklich das CA zertifikat installiert und nicht eins der applikationszertifikate.. dann waere der aufwand naemlich unnuetz.

$ openssl x509 -in /root/CA/cacert.pem -out /root/CA/cacert.crt

danach kann man mit den naechsten drei befehlen ein neues zertifikat erstellen (das dann im anschluss in der applikation eingetragen wird) und mit seiner root CA signieren

$ openssl genrsa -out /root/webKey.pem 1024
$ openssl req -new -key /root/webKey.pem -out /root/webCert.req
$ openssl ca -policy policy_anything -in webCert.req -out webCert.pem

eine erstellung der zertifikate mit dem CA.sh bzw. CA.pl skript, dass bei openssl mitgeliefert wird, habe ich zunaechst versucht. aus mir unerfindlichen gruenden verweigert der internet explorer aber jegliche kommunikation mit einem webserver, der ein von dieser root CA signiertes zertifikat benutzt, wenn das entsprechende root CA zertifikat in windows installiert ist.
ältere beiträge