Squid-Kit-TLS-CA als Intermediate: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „=Squid Sub-CA von der eigenen Intermediate CA ausstellen= ==Prüfen ob die eigene Intermediate CA eine Sub-CA ausstellen darf== *openssl x509 -in ./it2XX-ca.c…“) |
|||
| Zeile 9: | Zeile 9: | ||
;pathlen nicht definiert — beliebig viele Ebenen erlaubt | ;pathlen nicht definiert — beliebig viele Ebenen erlaubt | ||
| − | == | + | ==Key und CSR erstellen== |
| − | ; | + | ;Subject direkt per -subj — keine Config-Datei nötig |
| − | *vi | + | *openssl req -new -newkey rsa:4096 -nodes -sha256 -subj "/CN=Squid Sub Intermediate CA" -keyout proxyCA.key.pem -out proxyCA.csr.pem |
| + | |||
| + | ==Extensions für die Sub-CA== | ||
| + | ;Extensions im CSR werden von openssl x509 -req ignoriert — sie kommen erst beim Signieren per -extfile ins Zertifikat | ||
| + | *vi sub-ca.ext | ||
<pre> | <pre> | ||
| − | + | basicConstraints = critical, CA:true, pathlen:0 | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | basicConstraints = critical, CA:true | ||
keyUsage = critical, digitalSignature, cRLSign, keyCertSign | keyUsage = critical, digitalSignature, cRLSign, keyCertSign | ||
| − | |||
| − | |||
subjectKeyIdentifier = hash | subjectKeyIdentifier = hash | ||
authorityKeyIdentifier = keyid,issuer | authorityKeyIdentifier = keyid,issuer | ||
| − | |||
| − | |||
</pre> | </pre> | ||
;pathlen:0 — die Squid Sub-CA darf selbst keine weiteren CAs ausstellen | ;pathlen:0 — die Squid Sub-CA darf selbst keine weiteren CAs ausstellen | ||
| − | |||
| − | |||
| − | |||
==CSR mit der Kurs-CA signieren== | ==CSR mit der Kurs-CA signieren== | ||
| − | *openssl x509 -req -in proxyCA.csr.pem -CA it2XX-ca.crt -CAkey it2XX-ca.key -CAcreateserial -out proxyCA.cert.pem -days 3650 -sha256 -extfile | + | *openssl x509 -req -in proxyCA.csr.pem -CA it2XX-ca.crt -CAkey it2XX-ca.key -CAcreateserial -out proxyCA.cert.pem -days 3650 -sha256 -extfile sub-ca.ext |
| − | |||
==Ergebnis prüfen== | ==Ergebnis prüfen== | ||
Version vom 10. Juni 2026, 11:21 Uhr
Squid Sub-CA von der eigenen Intermediate CA ausstellen
Prüfen ob die eigene Intermediate CA eine Sub-CA ausstellen darf
- openssl x509 -in ./it2XX-ca.crt -noout -text | grep -A3 "Basic Constraints"
X509v3 Basic Constraints: critical
CA:TRUE, pathlen:1
- pathlen
- 1 — es darf noch eine CA-Ebene darunter ausgestellt werden
- pathlen
- 0 — es darf KEINE Sub-CA mehr ausgestellt werden
- pathlen nicht definiert — beliebig viele Ebenen erlaubt
Key und CSR erstellen
- Subject direkt per -subj — keine Config-Datei nötig
- openssl req -new -newkey rsa:4096 -nodes -sha256 -subj "/CN=Squid Sub Intermediate CA" -keyout proxyCA.key.pem -out proxyCA.csr.pem
Extensions für die Sub-CA
- Extensions im CSR werden von openssl x509 -req ignoriert — sie kommen erst beim Signieren per -extfile ins Zertifikat
- vi sub-ca.ext
basicConstraints = critical, CA:true, pathlen:0 keyUsage = critical, digitalSignature, cRLSign, keyCertSign subjectKeyIdentifier = hash authorityKeyIdentifier = keyid,issuer
- pathlen
- 0 — die Squid Sub-CA darf selbst keine weiteren CAs ausstellen
CSR mit der Kurs-CA signieren
- openssl x509 -req -in proxyCA.csr.pem -CA it2XX-ca.crt -CAkey it2XX-ca.key -CAcreateserial -out proxyCA.cert.pem -days 3650 -sha256 -extfile sub-ca.ext
Ergebnis prüfen
- openssl x509 -in proxyCA.cert.pem -noout -text | grep -A3 "Basic Constraints"
X509v3 Basic Constraints: critical
CA:TRUE, pathlen:0
- openssl verify -CAfile it2XX-ca.crt proxyCA.cert.pem
proxyCA.cert.pem: OK
Zertifikate für Squid zusammenführen
- Datei enthält den privaten Key — Zugriffsrechte einschränken
- cat proxyCA.cert.pem it2XX-ca.crt proxyCA.key.pem > squid-subca.pem
- chmod 600 squid-subca.pem