Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungNächste ÜberarbeitungBeide Seiten der Revision | ||
opensslcert [2012/05/08 10:39] – [Schlüsselpaar generieren] bush | opensslcert [2023/01/13 09:22] – [Einen CSR-Requests für ein Serverzertifikat mit openSSL erstellen] rwelte | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== Serverzertifikat mit openSSL | + | ====== |
- | Auf dieser Seite zeigen wir Ihnen, wie Sie mit openSSL ein Schlüsselpaar generieren, den | ||
- | CSR erzeugen und schließlich das von der Uni-FR CA gelieferte Zertifikat in das Server- | ||
- | System einbauen. | ||
- | |||
- | Hintergrundinformationen dazu finden Sie in dem Dokument: **[[serverzertifikat|Serverzertifikat beantragen]]**. | ||
- | |||
- | Die Anleitung der DFN PKI: **[[https:// | ||
- | |||
- | Die Anleitung des DFN CERT: **[[http:// | ||
Auf Linux-Systemen sollte openSSL grundsätzlich bereits installiert sein. | Auf Linux-Systemen sollte openSSL grundsätzlich bereits installiert sein. | ||
Zeile 16: | Zeile 7: | ||
**[[http:// | **[[http:// | ||
+ | |||
+ | |||
+ | |||
+ | [[Zertifikate installieren mit ACME-Clients]] | ||
Zeile 22: | Zeile 17: | ||
Im vorliegenden Beispiel wollen wir folgendes voraussetzen: | Im vorliegenden Beispiel wollen wir folgendes voraussetzen: | ||
- | * Die Internet-Adresse des Servers sei server1.ruf.uni-freiburg.de | + | * Die Internet-Adresse des Servers sei server1.uni-freiburg.de |
* Die Abteilung ist das Rechenzentum | * Die Abteilung ist das Rechenzentum | ||
* Der Schlüsselbund zur Aufbewahrung der eigenen Schlüssel sei / | * Der Schlüsselbund zur Aufbewahrung der eigenen Schlüssel sei / | ||
- | * Der Schlüssel soll auf hohe Sicherheit (Länge | + | * Der Schlüssel soll auf hohe Sicherheit (Länge |
- | * Der Gültigkeitszeitraum wird auf die maximale von der Uni-FR CA akzeptierten Zeitdauer von 5 Jahren (1825 Tage) konfiguriert | + | |
\\ | \\ | ||
Es soll hier ein Schlüsselpaar inclusive einem selbstsignierten Zertifikat mit folgendem eindeutigen Name erzeugt werden: | Es soll hier ein Schlüsselpaar inclusive einem selbstsignierten Zertifikat mit folgendem eindeutigen Name erzeugt werden: | ||
- | < | + | < |
- | Für die Uni-FR CA sind die Komponenten O und C obligatorisch: | + | Für die Uni-FR CA sind die Komponenten O und C obligatorisch: |
Das Element OU kann auch mehrfach auftreten, falls Sie z.B. verschiedene Unterabteilungen im DN nicht nur durch den CN des Servers kenntlich machen wollen. | Das Element OU kann auch mehrfach auftreten, falls Sie z.B. verschiedene Unterabteilungen im DN nicht nur durch den CN des Servers kenntlich machen wollen. | ||
Zeile 40: | Zeile 34: | ||
< | < | ||
ohne Passwortschutz: | ohne Passwortschutz: | ||
- | $ openssl genrsa | + | $ openssl genrsa |
mit Passwortschutz: | mit Passwortschutz: | ||
- | $ openssl genrsa | + | $ openssl genrsa |
enter des-ede3-cbc encryption password: ***** | enter des-ede3-cbc encryption password: ***** | ||
Verifying - enter des-ede3-cbc encryption password: ***** | Verifying - enter des-ede3-cbc encryption password: ***** | ||
Zeile 62: | Zeile 56: | ||
< | < | ||
[ req ] | [ req ] | ||
- | default_bits | + | default_bits |
distinguished_name | distinguished_name | ||
prompt | prompt | ||
- | |||
[ req_distinguished_name ] | [ req_distinguished_name ] | ||
C = DE | C = DE | ||
- | O = Universitaet Freiburg | + | ST = Baden-Wuerttemberg |
+ | L = Freiburg im Breisgau | ||
+ | O = Albert-Ludwigs-Universitaet Freiburg | ||
OU = Rechenzentrum | OU = Rechenzentrum | ||
CN = server1.uni-freiburg.de | CN = server1.uni-freiburg.de | ||
- | emailAddress | ||
</ | </ | ||
- | In unserem Beispiel soll diese Datei den Namen **req_config** erhalten. | + | ==== Subject Alternative Names ==== |
- | Nun lautet | + | Falls Sie zusätzliche Hostnamen (Subject Alterantive Names, SANs) als Alternativen in das Zertifikat aufgenommen haben wollen, müssen Sie die Konfigurationsdatei in der folgenden Art erweitern: |
< | < | ||
- | $ openssl | + | [ req ] |
- | </ | + | default_bits |
+ | distinguished_name | ||
+ | prompt | ||
+ | req_extensions | ||
- | Damit erzeugen Sie die **Request-Datei** unter dem Namen **server1.csr** unter Verwendung der zuvor erzeugten Konfigurationsdatei **req_config**. | + | [ req_distinguished_name ] |
+ | C = DE | ||
+ | ST = Baden-Wuerttemberg | ||
+ | L = Freiburg im Breisgau | ||
+ | O = Albert-Ludwigs-Universitaet Freiburg | ||
+ | OU = Rechenzentrum | ||
+ | CN | ||
+ | [ v3_req ] | ||
+ | subjectAltName | ||
- | Die Request-Datei geben Sie zur Kontrolle als lesbaren Text mit folgendem Kommando aus: | + | [ alt_names ] |
- | + | DNS.1 = server1.uni-freiburg.de | |
- | < | + | DNS.2 = alt1.uni-freiburg.de |
- | $ openssl req -text -in server1.csr | + | DNS.3 = alt2.uni-freiburg.de |
+ | ... | ||
</ | </ | ||
- | Die Datei server1.csr können | + | Bitte beachten |
- | * **https:// | ||
- | direkt über die Schaltfläche **Durchsuchen** hochladen lassen. | + | ==== Erzeugen, speichern, überprüfen ==== |
+ | In unserem Beispiel soll diese Datei den Namen **req_config** erhalten. | ||
- | Das Antragsverfahren mit Hilfe des Web-Interface der Uni-FR CA ist beschrieben in dem Dokument | + | Nun lautet |
- | + | ||
- | * **[[serverzertifikat|Serverzertifikat beantragen]]** | + | |
- | + | ||
- | \\ | + | |
- | + | ||
- | ===== Zertifikat und privaten Schlüssel installieren ===== | + | |
- | + | ||
- | Sobald Sie das Serverzertifikat von der Uni-FR CA per Mail erhalten haben, speichern Sie die PEM-formatierte Datei des Attachements ab, z.B. unter dem Namen **server1.pem**. | + | |
- | + | ||
- | Außerdem speichern Sie das **[[https:// | + | |
- | + | ||
- | Die Installation des Zertifikates hängt von den Anforderungen des Dienstes ab, für den es beantragt wurde. | + | |
- | + | ||
- | Im vorliegenden **Beispiel** soll gezeigt werden, wie das Zertifikat für **Jakarta Tomcat** zugänglich gemacht wird. | + | |
- | + | ||
- | Als erstes importieren Sie die drei Zertifikate der Zertifikatskette in die keystore-Datei: | + | |
< | < | ||
- | ohne Passwortschutz: | + | $ openssl req -new -sha256 |
- | $ cat g_deutsche-telekom-root-ca-2.pem >>/ | + | </code> |
- | $ cat g_dfn_intermediatecert.pem >>/ | + | |
- | $ cat g_unifrcacert.pem >>/var/ | + | |
- | $ cat server1.pem | + | |
- | mit Passwortschutz (bei bisher ungeschütztem .keystore): | + | Damit erzeugen Sie die **Request-Datei** unter dem Namen **server1.csr** unter Verwendung der zuvor erzeugten Konfigurationsdatei |
- | $ cat g_deutsche-telekom-root-ca-2.pem >>/ | + | Bei Windows XP funktioniert dieses Verfahren nicht! |
- | $ cat g_dfn_intermediatecert.pem >>/ | + | |
- | $ cat g_unifrcacert.pem >>/ | + | |
- | $ cat server1.pem >>/ | + | |
- | $ cat / | + | |
- | enter des-ede3-cbc encryption password: | + | |
- | Verifying - enter des-ede3-cbc encryption password: | + | |
- | mit Passwortschutz (bei bisher geschütztem .keystore): | + | Die Request-Datei |
- | $ openssl enc -d -des3 -in / | + | |
- | enter des-ede3-cbc decryption password: ***** | + | |
- | $ cat g_deutsche-telekom-root-ca-2.pem >>/ | + | |
- | $ cat g_dfn_intermediatecert.pem >>/ | + | |
- | $ cat g_unifrcacert.pem >>/ | + | |
- | $ cat server1.pem >> | + | |
- | $ openssl enc -e -des3 -in tempstore -out / | + | |
- | enter des-ede3-cbc encryption password: ***** | + | |
- | Verifying - enter des-ede3-cbc encryption password: ***** | + | |
- | $ rm tempstore | + | |
- | </ | + | |
- | + | ||
- | Nun teilen Sie **tomcat** in der Datei **server.xml** im **conf**-Verzeichnis mit, wo das Server-Zertifikat zu finden ist. | + | |
- | Falls Sie den Zertifikatsspeicher | + | |
< | < | ||
- | ... | + | $ openssl req -text -in server1.csr |
- | <!-- Define a SSL HTTP/1.1 Connector on port 443 --> | + | |
- | < | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | ... | + | |
</ | </ | ||
- | Das keystore-Password wurde mit ' | ||
- | In diesem Fall ist also die Schlüsseldatei mit einem Passwort geschützt.\\ | ||
- | **Sie müssen aber nun dafür sorgen, dass die Datei server.xml mit dem Klartextpasswort nicht von unbefugten gelesen werden kann.** | ||
- | \\ | ||
- | Falls Sie den **Apache Webserver** mit mod_ssl einsetzen, tragen Sie die Keystore-Datei wie sie im obigen Beispiel hergestellt wurde, nach folgendem Schema in die Konfigurationsdatei **httpd-ssl.conf** ein: | ||
- | < | ||
- | ... | ||
- | # | ||
- | # Point SSLCertificateFile at a PEM encoded certificate. | ||
- | # the certificate is encrypted, then you will be prompted for a | ||
- | # pass phrase. | ||
- | # in mind that if you have both an RSA and a DSA certificate you | ||
- | # can configure both in parallel (to also allow the use of DSA | ||
- | # | ||
- | SSLCertificateFile "/ | ||
- | # | ||
- | # If the key is not combined with the certificate, | ||
- | # | ||
- | # | ||
- | # both in parallel (to also allow the use of DSA ciphers, etc.) | ||
- | SSLCertificateKeyFile "/ | ||
- | ... | ||
- | </ | ||
\\ | \\ | ||
- | ===== Zertifikatskette bereitstellen ===== | ||
- | Wenn der Server die Zertifikatskette (SSLCertificateChainFile) nicht zum Client überträgt, | ||
- | |||
- | In der SSL-Konfigurationsdatei von Apache findet man dazu den Parameter " | ||
- | |||
- | Speichern Sie die Zertifikatskette, | ||
- | |||
- | < | ||
- | # | ||
- | # Point SSLCertificateChainFile at a file containing the | ||
- | # | ||
- | # | ||
- | # the referenced file can be the same as SSLCertificateFile | ||
- | # when the CA certificates are directly appended to the server | ||
- | # | ||
- | SSLCertificateChainFile "/ | ||
- | ... | ||
- | </ | ||
- | |||
- | |||
- | Normalerweise müssen Sie die Anwendungen anschließend neu starten, damit die Konfiguration wirksam wird und das Zertifikat verwendet werden kann. | ||
- | |||
- | |||
- | |||
- | \\ | ||
- | \\ | ||
- | \\ | ||
- | {{tag> |