Openssl-cheat-sheet
Version vom 27. März 2025, 14:06 Uhr von Thomas.will (Diskussion | Beiträge) (→Mit eingebautem Stammzertifikat)
CA, Request, Signierung
CA erstellen
- openssl req -new -x509 -newkey rsa:4096 -nodes -keyout ca.key -out ca.crt -days 3650 -subj "/CN=ca.crt"
Request und Privaten Key erstellen
- openssl req -new -newkey rsa:4096 -nodes -keyout www.it113.int.key -out www.it113.int.csr -subj "/CN=www.it113.int"
Signierung
- openssl x509 -req -days 730 -in www.it113.int.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out www.it113.int.crt -extfile <(echo "subjectAltName=DNS:www.it113.int")
Anzeigen von Zertifikat und CSR
Zertifikat anzeigen
- openssl x509 -in www.it113.int.crt -noout -text
CSR anzeigen
- openssl req -in www.it113.int.csr -noout -text
Überprüfen des Zertifikats
Ohne eingebautes Stammzertifikat
- openssl verify -CAfile ca.crt www.it113.int.crt
Mit eingebautem Stammzertifikat
- openssl verify www.it113.int.crt
Prüfen, ob privater Schlüssel und Zertifikat zusammengehören
- Beide müssen glecih sein.
- openssl x509 -noout -modulus -in www.it113.int.crt | openssl md5
- openssl rsa -noout -modulus -in www.it113.int.key | openssl md5
Einbauen der Zertifikate
Einbauen einer CA in Rocky
- cp ca.crt /etc/pki/ca-trust/source/anchors/
- update-ca-trust extract
Einbauen einer CA in Debian
- cp ca.crt /usr/local/share/ca-certificates
- update-ca-certificates