SSL Certificate Authority: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Pascal (Diskussion | Beiträge) |
Pascal (Diskussion | Beiträge) |
||
| Zeile 2: | Zeile 2: | ||
== OpenSSL Configuration == | == OpenSSL Configuration == | ||
=== /etc/ssl/openssl.cnf === | === /etc/ssl/openssl.cnf === | ||
| + | ==== Globale Variablen ==== | ||
<source lang="Make"> | <source lang="Make"> | ||
| − | |||
DIR= . # Nützliches Macro für Pfaderweiterung | DIR= . # Nützliches Macro für Pfaderweiterung | ||
RANDFILE= ${DIR}/private/.rnd # Entropy Quelle | RANDFILE= ${DIR}/private/.rnd # Entropy Quelle | ||
default_md= sha1 # Standard message digest | default_md= sha1 # Standard message digest | ||
| − | + | </source> | |
| − | + | ==== CA Abschnitt ==== | |
| + | <source lang="Make"> | ||
[ ca ] | [ ca ] | ||
default_ca= dft_ca # Konfigurationsdateien können mehr als eine CA enthalten | default_ca= dft_ca # Konfigurationsdateien können mehr als eine CA enthalten | ||
| Zeile 55: | Zeile 56: | ||
authorityKeyIdentifier=keyid:always,issuer:always | authorityKeyIdentifier=keyid:always,issuer:always | ||
| − | + | </source> | |
| − | + | ==== CA req Einstellungen ==== | |
| + | <source lang="Make"> | ||
[ req ] | [ req ] | ||
# Default bit encryption and out file for generated keys. | # Default bit encryption and out file for generated keys. | ||
| Zeile 64: | Zeile 66: | ||
string_mask= utf8only # Lasse nur utf8 Strings in abfragen/ca feldern zu. | string_mask= utf8only # Lasse nur utf8 Strings in abfragen/ca feldern zu. | ||
prompt= no # Verlange keine extra Bestätigung der Parameter. | prompt= no # Verlange keine extra Bestätigung der Parameter. | ||
| − | + | </source> | |
| − | + | ==== CA req Einstellungen ==== | |
| + | <source lang="Make"> | ||
</source> | </source> | ||
Version vom 29. Juli 2011, 08:14 Uhr
CA Erstellen
OpenSSL Configuration
/etc/ssl/openssl.cnf
Globale Variablen
DIR= . # Nützliches Macro für Pfaderweiterung
RANDFILE= ${DIR}/private/.rnd # Entropy Quelle
default_md= sha1 # Standard message digest
CA Abschnitt
[ ca ]
default_ca= dft_ca # Konfigurationsdateien können mehr als eine CA enthalten
# Abschnitt für verschiedene Szenarien.
[ dft_ca ]
certificate= ${DIR}/cacert.pem # Das CA Zertifikat.
database= ${DIR}/index.txt # Datenbank zur Prüfung gültiger/zurückgezogener Zertifikate.
new_certs_dir= ${DIR}/newcerts # Kopieen der signierten Zertifikate
private_key= ${DIR}/private/cakey.pem # Der CA Schlüssel.
serial= ${DIR}/serial # Sollte mit der Nächsten Zertifikats S/N veröffentlicht werden (Hex)
# Dies regelt die Anzeige der Zertifikate während der Signierung
name_opt= ca_default
cert_opt= ca_default
default_days= 365 # Wie lange soll das Zertifikat gültig sein
default_crl_days=30 # Das selbe für die CRL.
policy= dft_policy # Die Standardrichtlinie
x509_extensions=cert_v3 # Für v3 Zertifikate
[ dft_policy ]
# 'supplied' - Parameter muss im Zertifikat enthalten sein.
# 'match' - Parameter muss mit CA Wert übereinstimmen.
# 'optional' - Parameter ist komplett Optional.
C= supplied # Land
ST= supplied # Region
L= optional # Ort
O= supplied # Organisation
OU= optional # Abteilung
CN= supplied # Common name
[ cert_v3 ]
# Mit Ausnahme von 'CA:FALSE' gibt es PKIX Empfehlungen für Endbenutzer-Zertifikate,
# welche nicht in der Lage sein sollten weitere Zertifikate zu unterschreiben.
# 'CA:FALSE' ist explizit, weil es sonst zu Softwareproblemen führen kann.
subjectKeyIdentifier= hash
basicConstraints= CA:FALSE
keyUsage= nonRepudiation, digitalSignature, keyEncipherment
nsCertType= client, email
nsComment= "OpenSSL Generated Certificate"
authorityKeyIdentifier=keyid:always,issuer:always
CA req Einstellungen
[ req ]
# Default bit encryption and out file for generated keys.
default_bits= 1024
default_keyfile=private/ca.key
string_mask= utf8only # Lasse nur utf8 Strings in abfragen/ca feldern zu.
prompt= no # Verlange keine extra Bestätigung der Parameter.