Mit openssl zum self-signed certificate
Das brauch ich immer dann, wenn ich Philip Hazels exim-Buch, aus dem diese Kommandozeile stammt, nicht griffbereit habe:
openssl req -x509 -sha256 -newkey rsa:4096 -keyout keyfile -out certfile -days 9000 -nodes
Wichtig: Vorher /etc/ssl/openssl.cnf anpassen, sonst hat man leicht "Some-Foo" in irgend einem Feld stehen.
9999 Tage kann man nicht mehr nehmen, das sprengt die Zeitrechnung. openssl nimmt das klaglos, und OpenVPN beschwert sich danach über ein abgelaufenes Zertifikat.
Ausgabe zur Prüfung geht dann mit
openssl x509 -in certfile -text
Gegen ein CA-Zertifikat prüft man mit:
openssl verify -CAfile fsckCA/cacert.crt -verbose -purpose sslserver
wobei man den "purpose" noch varrieren kann (z.B. sslclient für ein Client-Zertifikat).
Danke außer an Philip noch an Andreas Pommer, der mir das vor vielen Monaten per E-Mail schrieb.
Und hier noch etwas, was sich Richard W. Könnig kurz aus seiner Shellhistory zusammengesucht hat:
mkdir demoCA
export OPENSSL_CONF=/usr/ssl/openssl.cnf
openssl req -x509 -newkey rsa -out cacert.pem -outform PEM
mv cacert.pem demoCA
mkdir demoCA/private
mv privkey.pem demoCA/private/cakey.pem
mkdir demoCA/certs
mkdir demoCA/crl
mkdir demoCA/newcerts
vi ./demoCA/serial
touch ./demoCA/index.txt
openssl req -newkey rsa:1024 -nodes -keyout testkey.pem -keyform PEM -out testreq.pem -outform PEM openssl ca -in testreq.pem cp demoCA/newcerts/00.pem testcert.pem openssl verify -CAfile demoCA/cacert.pem testcert.pem openssl verify -CAfile demoCA/cacert.pem -verbose testcert.pem openssl verify -CAfile demoCA/cacert.pem -issuer_checks testcert.pem openssl verify -CAfile demoCA/cacert.pem -purpose sslserver testcert.pem openssl verify -CAfile demoCA/cacert.pem -purpose sslserver -verbose testcert.pem
Trackbacks
No Trackbacks
Comments
Display comments as Linear | Threaded
slaxor on :
eine demoCA ist nur ein "klick" enfernt: -----------88----------->8-----------
-----------88-----------