Lokale PKI geupdatet

Durch einige Änderungen im ckl-net.local musste ich meine PKI neu erstellen.
Die Erstellung der Keys erfolgt mit Hilfe von OpenSSL. Alle Keys liegen in /etc/ssl und in diesem Directory existiert das Verzeichnis ckl-net.local, das ich angelegt habe.

Zuerst wird in /etc/ssl folgender Befehl ausgeführt, damit das CA-Zertifikat erzeugt wird:

openssl req -new -x509 -days 3650 -keyout cakey.pem -out cacert.pem

Damit ist das Zertifikat für die nächsten zehn Jahre gültig.
Die cacert.pem sollte noch in cacert.crt umkopiert werden, damit Windows damit was anfangen kann.

Nun werden für alle neuen Hosts bzw. Keys die Signing-Anfragen gestellt.
Dies geschieht mit Hilfe von

openssl req -new -keyout <hostname>_key.pem -out <hostname>_req.pem

Die erstellten Anfragen müssen mit dem CA-Key unterschrieben werden:

openssl x509 -req -in <hostname>_req.pem -CA cacert.pem -CAkey cakey.pem -CAcreateserial -out <hostname>_cert.pem -days 365

Der letzte Schritt erzeugt PK12-Dateien für die Verwendung unter Windows:

cat <hostname>_key.pem <hostname>_cert.pem > <hostname>_keycert.pem

openssl pkcs12 -export -in <hostname>_keycert.pem -out <hostname>_cert.p12 -name "<hostname>.<domain>"

Dat wars…

Leave a reply

Your email address will not be published.

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>