EasyRSA – Erstellung einer Certificate Authority (CA)

EasyRSA ist ein Tool zur einfachen Verwaltung einer Public-Key-Infrastruktur (PKI). Diese Anleitung beschreibt die Erstellung einer eigenen CA mit EasyRSA.

EasyRSA installieren

Falls EasyRSA nicht installiert ist, kann es über das Paketmanagement installiert werden:

Debian/Ubuntu:

• apt install easy-rsa

CentOS/RHEL:

• yum install easy-rsa

Falls EasyRSA nicht als Paket verfügbar ist, kann es von GitHub heruntergeladen werden.

Arbeitsverzeichnis erstellen und initialisieren

EasyRSA benötigt ein eigenes Verzeichnis zur Verwaltung von Zertifikaten und Konfigurationen:

• mkdir -p ~/easyrsa && cd ~/easyrsa
• cp -r /usr/share/easy-rsa/* .

Danach wird die PKI initialisiert:

• ./easyrsa init-pki

CA-Zertifikat erstellen

Um eine neue Certificate Authority (CA) zu erstellen, wird folgender Befehl ausgeführt:

• ./easyrsa build-ca

Während des Vorgangs wird ein Common Name (CN) abgefragt, z. B. MyCompany-CA.

Falls keine Passwortabfrage für die CA gewünscht ist:

• EASYRSA_BATCH=1 ./easyrsa build-ca nopass

CA-Zertifikat prüfen

Nach der Erstellung befinden sich die relevanten CA-Dateien im Verzeichnis pki:

pki/ca.crt

Das öffentliche CA-Zertifikat

pki/private/ca.key

Der private Schlüssel der CA (geheim halten!)

Diese CA kann jetzt verwendet werden, um Client- und Serverzertifikate auszustellen.