my life

nachdem ich letzte nacht mal wieder verschiedenen howtos durchprobiert habe um ssl zertifikate zu fuer meinen apache und die mailservergeschichten (wir erinnern uns) erstellen, die nicht nur selbstsigniert sind, sondern von einer eigenen certificate authority und - wie jedes mal - zunaechst klaeglich gescheitert bin, hier nun - u.a. fuer mich selber zum merken - eine kurzanleitung. grosse teile wurden aus diesem wiki entnommen.
zunaechst mal muss man ein paar aenderungen im abschnitt [ CA_default ] der openssl.cnf vornehmen:

dir = /root/CA
...
#crlnumber = $dir/crlnumber
...
default_days = 1825
...
default_md = md5

danach fuehrt man die folgenden befehle aus, um seine root CA zu erstellen und zu signieren:

$ openssl genrsa -des3 -out /root/CA/private/cakey.pem 1024
$ openssl req -new -days 1825 -key /root/CA/private/cakey.pem -x509 -out /root/CA/cacert.pem

mit dem naechsten befehl konvertiert man das zertifikat in ein windows-lesbares format, damit man zuhause auch wirklich das CA zertifikat installiert und nicht eins der applikationszertifikate.. dann waere der aufwand naemlich unnuetz.

$ openssl x509 -in /root/CA/cacert.pem -out /root/CA/cacert.crt

danach kann man mit den naechsten drei befehlen ein neues zertifikat erstellen (das dann im anschluss in der applikation eingetragen wird) und mit seiner root CA signieren

$ openssl genrsa -out /root/webKey.pem 1024
$ openssl req -new -key /root/webKey.pem -out /root/webCert.req
$ openssl ca -policy policy_anything -in webCert.req -out webCert.pem

eine erstellung der zertifikate mit dem CA.sh bzw. CA.pl skript, dass bei openssl mitgeliefert wird, habe ich zunaechst versucht. aus mir unerfindlichen gruenden verweigert der internet explorer aber jegliche kommunikation mit einem webserver, der ein von dieser root CA signiertes zertifikat benutzt, wenn das entsprechende root CA zertifikat in windows installiert ist.