Linux Script - Serverzertifikat erstellen und selbst signieren
Posted by Guenny onNicht nur auf Produktivsystemen, sondern schon im Testumgebungen und erst recht im Intranet ist eine sichere Datenübertragung zwischen Geräten wichtig. Dazu werden Zertifikate benötigt. Für die Erstellung solcher Bescheinigungen ist unter Linux eigentlich nur ein Einzeiler notwendig.
Da dieser recht lang sein kann und bei einem selbstsignierten Zertifikate noch eine weiter Zeile hinzukommt, habe ich es mal auf die schnelle zusammengeschrieben. Zunächst muss aber das benötigte Paket installiert werden.
sudo apt-get install openssl
Im Folgenden wird eine Zertifikatsanfrage "server.csr" und eine privater Schlüssel mit 4096 Bit erstellt.
Die Gültigkeit beträgt 1825 Tage.
Zusätzlich sind diverse Eingaben notwendig, wobei der Common Name am wichtigsten ist. Hier muss entweder die richtige IP Adresse oder der Domainname des Servers angegeben werden.
Serverzertifikat erstellen
openssl req -newkey rsa:4096 -outform PEM -out server.csr -keyout server.key -keyform PEM -days 1825 -nodes
Generating a 4096 bit RSA private key
.++.........................................++
writing new private key to 'server.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Hawaii
Locality Name (eg, city) []:Honolulu
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ITrig
Organizational Unit Name (eg, section) []:Test
Common Name (e.g. server FQDN or YOUR name) []:itrig.de
Email Address []:Mailadresse
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Serverzertifikat selbst signieren
Nun haben wir den ersten Schritt hinter uns und sollten eine "server.key" und eine "server.csr" im Verzeichnis liegen haben. Letztere kann nun zur einer offiziellen CA gesendet werden, was allerdings Geld kostet. Alternativ kann diese, gerade für Testzwecke, auch selbst signiert werden. Mit dem folgenden Befehl erhalten wir als Ausgabe ein fertiges Zertifikat "server.crt", welches auf "itrig.de" ausgestellt. ist.
openssl x509 -req -days 1825 -in server.csr -signkey server.key -out server.crt
Signature ok
subject=/C=DE/ST=Hawaii /L=Honolulu/O=ITrig/OU=Test/CN=itrig.de/emailAddress=Mailadresse
Getting Private key
Insgesamt eine recht leichte Übung, dennoch hier das Ganze noch einmal als fertiges Script. Das fertige Skript muss nach dem herunterladen noch entpackt "unzip" und mit "sudo chmod +x" ausführbar gemacht werden.
Download Script Serverzertifikat erstellen
Trackbacks
Trackback specific URI for this entryThis link is not meant to be clicked. It contains the trackback URI for this entry. You can use this URI to send ping- & trackbacks from your own blog to this entry. To copy the link, right click and select "Copy Shortcut" in Internet Explorer or "Copy Link Location" in Mozilla.
Comments
Display comments as Linear | ThreadedNo comments