Squid-Kit-TLS-CA als Intermediate
Zur Navigation springen
Zur Suche springen
Squid Sub-CA von der eigenen Intermediate CA ausstellen
- Dank geht raus an Johannes :)
Prüfen ob die eigene Intermediate CA eine Sub-CA ausstellen darf
- openssl x509 -in ./it2XX-ca.crt -noout -text | grep -A3 "Basic Constraints"
X509v3 Basic Constraints: critical
CA:TRUE, pathlen:1
- pathlen
- 1 — es darf noch eine CA-Ebene darunter ausgestellt werden
- pathlen
- 0 — es darf KEINE Sub-CA mehr ausgestellt werden
- pathlen nicht definiert — beliebig viele Ebenen erlaubt
Key und CSR erstellen
- Subject direkt per -subj — keine Config-Datei nötig
- openssl req -new -newkey rsa:4096 -nodes -sha256 -subj "/CN=Squid Sub Intermediate CA" -keyout proxyCA.key.pem -out proxyCA.csr.pem
Extensions für die Sub-CA
- Extensions im CSR werden von openssl x509 -req ignoriert — sie kommen erst beim Signieren per -extfile ins Zertifikat
- vi sub-ca.ext
basicConstraints = critical, CA:true, pathlen:0 keyUsage = critical, digitalSignature, cRLSign, keyCertSign subjectKeyIdentifier = hash authorityKeyIdentifier = keyid,issuer
- pathlen
- 0 — die Squid Sub-CA darf selbst keine weiteren CAs ausstellen
CSR mit der Kurs-CA signieren
- openssl x509 -req -in proxyCA.csr.pem -CA it2XX-ca.crt -CAkey it2XX-ca.key -CAcreateserial -out proxyCA.cert.pem -days 3650 -sha256 -extfile sub-ca.ext
Ergebnis prüfen
- openssl x509 -in proxyCA.cert.pem -noout -text | grep -A3 "Basic Constraints"
X509v3 Basic Constraints: critical
CA:TRUE, pathlen:0
- openssl verify -CAfile it2XX-ca.crt proxyCA.cert.pem
proxyCA.cert.pem: OK
Zertifikate für Squid zusammenführen
- Datei enthält den privaten Key — Zugriffsrechte einschränken
- cat proxyCA.cert.pem it2XX-ca.crt proxyCA.key.pem > squid-subca.pem
- chmod 600 squid-subca.pem