PKI-Lab mit Root-CA und Teilnehmer-CA: Unterschied zwischen den Versionen

Root-CA erstellen (Trainer)

• openssl req -new -x509 -newkey rsa:4096 -nodes -keyout ca.key -out ca.crt -days 3650 -subj "/CN=Kit Root CA"

Der Trainer erstellt eine zentrale Root-CA.

• openssl x509 -in ca.crt -text -noout

Das Zertifikat wird angezeigt und kontrolliert.

Root-CA auf Clients installieren

Debian

• cp ca.crt /usr/local/share/ca-certificates/

Das Root-Zertifikat wird in den lokalen Trust-Store kopiert.

• update-ca-certificates

Der Trust-Store des Systems wird aktualisiert.

Rocky

• cp ca.crt /etc/pki/ca-trust/source/anchors/

Das Root-Zertifikat wird in das CA-Anchor-Verzeichnis kopiert.

• update-ca-trust

Der Trust-Store des Systems wird aktualisiert.

Teilnehmer erstellt eigene CA (it213)

• openssl req -new -x509 -newkey rsa:4096 -nodes -keyout it213-ca.key -out it213-ca.crt -days 365 -subj "/CN=it213 Lab CA"

Teilnehmer it213 erstellt eine eigene CA.

• openssl x509 -in it213-ca.crt -text -noout

Das Zertifikat der Teilnehmer-CA wird angezeigt.

Server-Schlüssel und CSR erzeugen

• openssl req -new -newkey rsa:2048 -nodes -keyout web.key -out web.csr -subj "/CN=web.it213.lab"

Es wird ein Schlüssel und eine Certificate Signing Request erzeugt.

Server-Zertifikat signieren

• openssl x509 -req -in web.csr -CA it213-ca.crt -CAkey it213-ca.key -CAcreateserial -out web.crt -days 365

Die Teilnehmer-CA signiert das Server-Zertifikat.

Zertifikat prüfen

• openssl x509 -in web.crt -text -noout

Das fertige Server-Zertifikat wird angezeigt.

PKI-Struktur im Lab

Kit Root CA

├── it201-ca
├── it202-ca
├── it203-ca
├── ...
└── it213-ca
     └── web.it213.lab

Alle Clients vertrauen der Root-CA und akzeptieren dadurch auch Zertifikate der Teilnehmer-CAs.