TLS Signierung: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
Zeile 3: Zeile 3:
 
= Prinzip =
 
= Prinzip =
 
== Signieren ==
 
== Signieren ==
*Generieren eines Schlüsselpaares einen privkey-s und einen Certificate Signing Request.
+
*Generieren eines Schlüsselpaares (privkey-s und pubkey-s) und Erstellen des Certificate Signing Request (CSR).
*Der Certificate Signing Request enthält den Distungsh Name des Server als auch den privkey-s  
+
*Der CSR enthält den **Distinguished Name** des Servers als auch den pubkey-s.
*Den Certificate Signing Request schickt man nun an einen Zertifizierungsstelle (inkclusive FQDN durch X.509).
+
*Den CSR schickt man nun an eine Zertifizierungsstelle (CA).
*Diese bildet nun einen Hashwert vom oubkey-s mit dem Namen hash-s
+
*Diese bildet nun einen Hashwert der **kompletten Zertifikatsdaten** (inklusive pubkey-s, Gültigkeit, dn-s etc.).
*hash wird nun mit dem privkey-ca verschlüsselt,
+
*hash wird nun mit dem privkey-ca verschlüsselt.
*Das Teil nennt man nun signature-s  
+
*Das Teil nennt man nun signature-s.
 
*Es wird eine certifikat-s erstellt.
 
*Es wird eine certifikat-s erstellt.
 
*Dies besteht aus
 
*Dies besteht aus
 
**signature-s
 
**signature-s
**privkey-ca
+
**pubkey-s (Der öffentliche Schlüssel des Servers)
**dn-ca
+
**dn-ca (Name der ausstellenden CA)
**dn-s
+
**dn-s (Name des Servers)
 
**Ablaufdatum
 
**Ablaufdatum
 
**Seriennummer
 
**Seriennummer
*Es wird zum Server zurück geschickt
+
*Es wird zum Server zurück geschickt.
*Man baut dies dann in seinen Websever ein
+
*Man baut das fertige Zertifikat und den lokalen **privkey-s** in den Webserver ein.
 
*[[CA erstellen]]
 
*[[CA erstellen]]
 
*[[Certificate Request erstellen]]
 
*[[Certificate Request erstellen]]

Version vom 27. November 2025, 15:40 Uhr

Voraussetzung

  • Server muss einen festgelegten DNS Namen besitzen.

Prinzip

Signieren

  • Generieren eines Schlüsselpaares (privkey-s und pubkey-s) und Erstellen des Certificate Signing Request (CSR).
  • Der CSR enthält den **Distinguished Name** des Servers als auch den pubkey-s.
  • Den CSR schickt man nun an eine Zertifizierungsstelle (CA).
  • Diese bildet nun einen Hashwert der **kompletten Zertifikatsdaten** (inklusive pubkey-s, Gültigkeit, dn-s etc.).
  • hash wird nun mit dem privkey-ca verschlüsselt.
  • Das Teil nennt man nun signature-s.
  • Es wird eine certifikat-s erstellt.
  • Dies besteht aus
    • signature-s
    • pubkey-s (Der öffentliche Schlüssel des Servers)
    • dn-ca (Name der ausstellenden CA)
    • dn-s (Name des Servers)
    • Ablaufdatum
    • Seriennummer
  • Es wird zum Server zurück geschickt.
  • Man baut das fertige Zertifikat und den lokalen **privkey-s** in den Webserver ein.
  • CA erstellen
  • Certificate Request erstellen
  • CA signiert den Request
  • Einbauen von Zertifikaten
  • Anzeigen und überprüfen von Zertifikaten
Abgerufen von „http://wiki.ixheim.de/index.php?title=TLS_Signierung&oldid=65882