Eigenes SSL-Zertifikat
Aus schokokeks.org Wiki
Um Seiten verschlüsselt übertragen zu können, benötigt man ein SSL-Zertifikat. Das SSL-Zertifikat ist zuständig für die Verschlüsselung der Inhalte, sowie auch für die Identitäts-Beglaubigung einer Website.
Für mehr Informationen siehe SSL-Zertifikat.
Inhaltsverzeichnis |
Erstellen eines eigenen Zertifikats
Um ein eigenes Zertifikat zu erstellen werden die OpenSSL-Tools benötigt. Beim Erstellen ist zu beachten, dass bei der Frage nach CommonName die Domain eingetragen werden muss, für die das Zertifikat ausgestellt werden soll. Folgende Schritte sind durchzuführen:
mkdir SSL cd SSL # Erstellen eines privaten Schlüssels: openssl genrsa -out privkey.pem 4096 # Erstellen des Zertifikats: openssl req -new -sha256 -key privkey.pem -out neues_Zertifikat.cert.csr
Das Zertifikat signieren lassen
Damit das Zertifikat benutzt werden kann, muss es von einer CA (certification authority) unterschrieben werden. Es besteht auch die Möglichkeit das Zertifikat selbst zu signieren.
Hier soll unser Zertifikat von einer vertrauenswürdigen CA unterzeichnet werden. Das kann entweder eine traditionelle, kommerzielle CA sein oder z.B. die freie Zertifizierungsstelle CAcert.org. Trotzdem zeigen wir, wie man es selber signiert.
self-signed
Ein so genanntes self-signed bzw. selbstsigniertes-Zertifikat ist von sich selbst unterzeichnet. Dies funktioniert folgendermaßen:
openssl x509 -req -days 365 \
-in neues_Zertifikat.cert.csr -signkey neues_Zertifikat.cert.key \
-out neues_Zertifikat.cert.crt
Kommerzielle Anbieter
siehe SSL-Zertifikat#Kommerzielle Anbieter.
CAcert.org
siehe SSL-Zertifikat#CAcert.org.
Zertifikat entschlüsseln
Das Zertifikat enthält einen geheimen Schlüssel, der durch ein Passwort geschützt sein kann. Damit der Server das Zertifikat ohne Passworteingabe lesen kann, muss es entschlüsselt werden:
openssl rsa -in privkey.pem -out neues_Zertifikat.cert.key
