CA, Request, Signierung

CA erstellen

• openssl req -new -x509 -newkey rsa:4096 -nodes -keyout ca.key -out ca.crt -days 3650 -subj "/CN=ca.crt"

Request und Privaten Key erstellen

• openssl req -new -newkey rsa:4096 -nodes -keyout www.it113.int.key -out www.it113.int.csr -subj "/CN=www.it113.int"

Signierung

• openssl x509 -req -days 730 -in www.it113.int.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out www.it113.int.crt -extfile <(echo "subjectAltName=DNS:www.it113.int")

Anzeigen von Zertifikat und CSR

Zertifikat anzeigen

• openssl x509 -in www.it113.int.crt -noout -text

CSR anzeigen

• openssl req -in www.it113.int.csr -noout -text

Überprüfen des Zertifikats

Ohne eingebautes Stammzertifikat

• openssl verify -CAfile ca.crt www.it113.int.crt

Mit eingebautem Stammzertifikat

• openssl verify www.it113.int.crt

Prüfen, ob privater Schlüssel und Zertifikat zusammengehören

Beide müssen gleich sein.

• openssl x509 -noout -modulus -in www.it113.int.crt | openssl md5
• openssl rsa -noout -modulus -in www.it113.int.key | openssl md5

Test von aussen

öffentliches Zertifikat

• openssl s_client -port 443 -host $COMMONNAME

Selbstsigniertes Zertifikat

• openssl s_client -port 443 -CAfile ca.crt -host $COMMONNAME

STARTTLS

• openssl s_client -connect your_mail_server:port -starttls smtp

Einbauen der Zertifikate

Einbauen einer CA in Rocky

• cp ca.crt /etc/pki/ca-trust/source/anchors/
• update-ca-trust extract

Einbauen einer CA in Debian

• cp ca.crt /usr/local/share/ca-certificates
• update-ca-certificates