Openssl howto two: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Thomas (Diskussion | Beiträge) |
Thomas (Diskussion | Beiträge) |
||
| (13 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
| + | = CA erstellen = | ||
| + | mkdir -p ~/ssl/newcerts | ||
| − | = config file = | + | cd ~/ssl |
| + | |||
| + | touch index.txt | ||
| + | |||
| + | echo 01 > serial | ||
| + | |||
| + | echo 01 > crlnumber | ||
| + | |||
| + | |||
| + | |||
| + | == config file == | ||
*[[/etc/ssl/openssl.cnf]] | *[[/etc/ssl/openssl.cnf]] | ||
| − | = client name setzen = | + | == client name setzen == |
CLIENT="client" | CLIENT="client" | ||
| − | |||
| − | + | == 3des == | |
| − | + | openssl genrsa -des3 -out cakey.pem 1024 | |
| − | openssl genrsa -des3 -out | ||
== CA selbst signieren == | == CA selbst signieren == | ||
| − | openssl req -new -key | + | openssl req -new -key cakey.pem -x509 -days 3650 -out cacert.pem |
== Erstellen eines Privat Keys == | == Erstellen eines Privat Keys == | ||
| Zeile 20: | Zeile 30: | ||
== Erstellen einer CSR (Certificate Signing Request): == | == Erstellen einer CSR (Certificate Signing Request): == | ||
openssl req -new -key ${CLIENT}.key -out ${CLIENT}.csr | openssl req -new -key ${CLIENT}.key -out ${CLIENT}.csr | ||
| + | === Anzeigen des Request === | ||
| + | openssl req -text -noout -in $CLIENT.csr | ||
== Key signieren == | == Key signieren == | ||
| − | + | openssl ca -cert cacert.pem -days 3650 -keyfile cakey.pem -in $CLIENT.csr -out $CLIENT.crt | |
== Überprüfung der Gültigkeit eines Zertifikates: == | == Überprüfung der Gültigkeit eines Zertifikates: == | ||
| − | openssl verify -CAfile | + | openssl verify -CAfile cacert.pem ${CLIENT}.crt |
client.crt: OK | client.crt: OK | ||
| + | |||
| + | == Anzeigen des Zertifikat == | ||
| + | openssl x509 -noout -text -in ${CLIENT}.crt | ||
| + | |||
| + | == Auslesen des Subjects und Serial-Nr.: == | ||
| + | openssl x509 -noout -subject -serial -in ${CLIENT}.crt | ||
| + | |||
| + | subject= /C=de/ST=rlp/L=zweibruecken/O=xinux/OU=edv/CN=client/emailAddress=technik@xinux.de | ||
| + | serial=F5006B108B6B267B | ||
Aktuelle Version vom 3. November 2014, 15:41 Uhr
CA erstellen
mkdir -p ~/ssl/newcerts
cd ~/ssl
touch index.txt
echo 01 > serial
echo 01 > crlnumber
config file
client name setzen
CLIENT="client"
3des
openssl genrsa -des3 -out cakey.pem 1024
CA selbst signieren
openssl req -new -key cakey.pem -x509 -days 3650 -out cacert.pem
Erstellen eines Privat Keys
openssl genrsa -des3 -out ${CLIENT}.key 1024
Erstellen einer CSR (Certificate Signing Request):
openssl req -new -key ${CLIENT}.key -out ${CLIENT}.csr
Anzeigen des Request
openssl req -text -noout -in $CLIENT.csr
Key signieren
openssl ca -cert cacert.pem -days 3650 -keyfile cakey.pem -in $CLIENT.csr -out $CLIENT.crt
Überprüfung der Gültigkeit eines Zertifikates:
openssl verify -CAfile cacert.pem ${CLIENT}.crt
client.crt: OK
Anzeigen des Zertifikat
openssl x509 -noout -text -in ${CLIENT}.crt
Auslesen des Subjects und Serial-Nr.:
openssl x509 -noout -subject -serial -in ${CLIENT}.crt
subject= /C=de/ST=rlp/L=zweibruecken/O=xinux/OU=edv/CN=client/emailAddress=technik@xinux.de
serial=F5006B108B6B267B