PKI-Lab mit Root-CA und Teilnehmer-CA
Version vom 13. März 2026, 12:12 Uhr von Thomas.will (Diskussion | Beiträge) (→Root-CA auf Clients installieren)
Root-CA erstellen (Trainer)
- openssl req -new -x509 -newkey rsa:4096 -nodes -keyout ca.key -out ca.crt -days 3650 -subj "/CN=Kit Root CA"
Der Trainer erstellt eine zentrale Root-CA.
- openssl x509 -in ca.crt -text -noout
Das Zertifikat wird angezeigt und kontrolliert.
Root-CA auf Clients installieren
Debian
- cp ca.crt /usr/local/share/ca-certificates/
Das Root-Zertifikat wird in den lokalen Trust-Store kopiert.
- update-ca-certificates
Der Trust-Store des Systems wird aktualisiert.
Rocky
- cp ca.crt /etc/pki/ca-trust/source/anchors/
Das Root-Zertifikat wird in das CA-Anchor-Verzeichnis kopiert.
- update-ca-trust
Der Trust-Store des Systems wird aktualisiert.
Teilnehmer erstellt eigene CA (it213)
- openssl req -new -x509 -newkey rsa:4096 -nodes -keyout it213-ca.key -out it213-ca.crt -days 365 -subj "/CN=it213 Lab CA"
Teilnehmer it213 erstellt eine eigene CA.
- openssl x509 -in it213-ca.crt -text -noout
Das Zertifikat der Teilnehmer-CA wird angezeigt.
Server-Schlüssel und CSR erzeugen
- openssl req -new -newkey rsa:2048 -nodes -keyout web.key -out web.csr -subj "/CN=web.it213.lab"
Es wird ein Schlüssel und eine Certificate Signing Request erzeugt.
Server-Zertifikat signieren
- openssl x509 -req -in web.csr -CA it213-ca.crt -CAkey it213-ca.key -CAcreateserial -out web.crt -days 365
Die Teilnehmer-CA signiert das Server-Zertifikat.
Zertifikat prüfen
- openssl x509 -in web.crt -text -noout
Das fertige Server-Zertifikat wird angezeigt.
PKI-Struktur im Lab
Kit Root CA
├── it201-ca
├── it202-ca
├── it203-ca
├── ...
└── it213-ca
└── web.it213.lab
Alle Clients vertrauen der Root-CA und akzeptieren dadurch auch Zertifikate der Teilnehmer-CAs.