Wir fangen mal mit etwas ganz einfachen an: Certifikat-Requests (kurz CSR) mit OpenSSL generieren.
CSR’s werden genutzt um einer CA (Certificate Authority) die eigenen Daten mitzuteilen, die das Zertifikat enthalten soll.
Vorwort
Als Domain in diesem Beispiel verwende ich admin-connect.de.
Der Private Schlüssel
Gut, dann fangen wir mal an:
Als erstes generieren wir einen privaten Schlüssel. Dieser ist dafür gedacht die zu übertragenden Informationen auf dem Server zu verschlüsseln.
Als Kommando gibt es hier die Vorlage:
[shell]openssl genrsa -out admin-connect.de.key 8192[/shell]
Ich benutze meist die Domain als bestandteil des Dateinamens, damit es nicht irgendwann zu verwechselungen kommt.
Der Aufbau des Befehls ist nochmal wie folgt:
[shell]openssl genrsa -out $keyname $keylength[/shell]
Als Schlüssellänge (keylength) benutze ich hier 8192 und als Schlüsseltyp bewusst noch eine ECC (Eliptic-Courve-Cryptography), da ich bisher nicht genau weiß, welche CAs bzw Server-Programme das schon mitmachen.
Das CSR
Um ein CSR zu generieren, benötigt man nur den Private-Key, allerdings wird man (wenn nicht anders hinterlegt) von OpenSSL noch nach ein ein paar weiteren Daten gefragt, die nachher im Zertifikat auftauchen. Hier zum Beispiel der Common-Name, welcher meist der Domain des Server entpricht.
Der Befehl für die Generierung des CSR lautet:
[shell]openssl req -new -key admin-connect.de.key -out admin-connect.de.csr[/shell]
Die Parameter sind wie folgt:
[shell]
-key Dateiname des Private-Keys
-out Zielname des CSRs
[/shell]
Abschluss
Das generierte CSR kann dann an die CA gegebene werden, ohne das diese jemals den Private-Key in Reichweite hatten.
Schreibe einen Kommentar