Openssl-cheat-sheet: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (7 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 3: | Zeile 3: | ||
*openssl req -new -x509 -newkey rsa:4096 -nodes -keyout ca.key -out ca.crt -days 3650 -subj "/CN=ca.crt" | *openssl req -new -x509 -newkey rsa:4096 -nodes -keyout ca.key -out ca.crt -days 3650 -subj "/CN=ca.crt" | ||
==Request und Privaten Key erstellen== | ==Request und Privaten Key erstellen== | ||
| − | *openssl req -new -newkey rsa:4096 -nodes -keyout | + | FQDN=www.lab.int |
| + | *openssl req -new -newkey rsa:4096 -nodes -keyout $FQDN.key -out $FQDN.csr -subj "/CN=$FQDN" | ||
==Signierung== | ==Signierung== | ||
| − | *openssl x509 -req -days 730 -in | + | *openssl x509 -req -days 730 -in $FQDN.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out $FQDN.crt -extfile <(echo "subjectAltName=DNS:$FQDN") |
| + | |||
= Anzeigen von Zertifikat und CSR = | = Anzeigen von Zertifikat und CSR = | ||
== Zertifikat anzeigen == | == Zertifikat anzeigen == | ||
| − | * openssl x509 -in www.it113.int.crt | + | * openssl x509 -noout -text -in www.it113.int.crt |
| + | |||
== CSR anzeigen == | == CSR anzeigen == | ||
| − | * openssl req -in www.it113.int.csr -noout - | + | * openssl req -noout -text -in www.it113.int.csr |
| + | |||
| + | = Überprüfen des Zertifikats = | ||
| + | == Ohne eingebautes Stammzertifikat == | ||
| + | *openssl verify -CAfile ca.crt www.it113.int.crt | ||
| + | ==Mit eingebautem Stammzertifikat == | ||
| + | *openssl verify www.it113.int.crt | ||
| + | = Prüfen, ob privater Schlüssel und Zertifikat zusammengehören = | ||
| + | ;Beide müssen gleich sein. | ||
| + | * openssl x509 -noout -modulus -in www.it113.int.crt | openssl md5 | ||
| + | * openssl rsa -noout -modulus -in www.it113.int.key | openssl md5 | ||
| + | =Test von aussen= | ||
| + | ==öffentliches Zertifikat== | ||
| + | *openssl s_client -port 443 -host $COMMONNAME | ||
| + | ==Selbstsigniertes Zertifikat== | ||
| + | *openssl s_client -port 443 -CAfile ca.crt -host $COMMONNAME | ||
| + | ==STARTTLS== | ||
| + | *openssl s_client -connect your_mail_server:port -starttls smtp | ||
=Einbauen der Zertifikate= | =Einbauen der Zertifikate= | ||
==Einbauen einer CA in Rocky== | ==Einbauen einer CA in Rocky== | ||
Aktuelle Version vom 18. Juli 2025, 15:32 Uhr
CA, Request, Signierung
CA erstellen
- openssl req -new -x509 -newkey rsa:4096 -nodes -keyout ca.key -out ca.crt -days 3650 -subj "/CN=ca.crt"
Request und Privaten Key erstellen
FQDN=www.lab.int
- openssl req -new -newkey rsa:4096 -nodes -keyout $FQDN.key -out $FQDN.csr -subj "/CN=$FQDN"
Signierung
- openssl x509 -req -days 730 -in $FQDN.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out $FQDN.crt -extfile <(echo "subjectAltName=DNS:$FQDN")
Anzeigen von Zertifikat und CSR
Zertifikat anzeigen
- openssl x509 -noout -text -in www.it113.int.crt
CSR anzeigen
- openssl req -noout -text -in www.it113.int.csr
Überprüfen des Zertifikats
Ohne eingebautes Stammzertifikat
- openssl verify -CAfile ca.crt www.it113.int.crt
Mit eingebautem Stammzertifikat
- openssl verify www.it113.int.crt
Prüfen, ob privater Schlüssel und Zertifikat zusammengehören
- Beide müssen gleich sein.
- openssl x509 -noout -modulus -in www.it113.int.crt | openssl md5
- openssl rsa -noout -modulus -in www.it113.int.key | openssl md5
Test von aussen
öffentliches Zertifikat
- openssl s_client -port 443 -host $COMMONNAME
Selbstsigniertes Zertifikat
- openssl s_client -port 443 -CAfile ca.crt -host $COMMONNAME
STARTTLS
- openssl s_client -connect your_mail_server:port -starttls smtp
Einbauen der Zertifikate
Einbauen einer CA in Rocky
- cp ca.crt /etc/pki/ca-trust/source/anchors/
- update-ca-trust extract
Einbauen einer CA in Debian
- cp ca.crt /usr/local/share/ca-certificates
- update-ca-certificates