Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
opensslcert [2019/04/10 12:00] – [Schlüsselpaar generieren] mt1051opensslcert [2023/01/10 15:42] – [Literatur] rwelte
Zeile 1: Zeile 1:
 ====== Serverzertifikat mit openSSL bearbeiten ====== ====== Serverzertifikat mit openSSL bearbeiten ======
  
-Auf dieser Seite zeigen wir Ihnen, wie Sie mit openSSL ein Schlüsselpaar generieren, den 
-CSR (Certificate Signing Request) erzeugen und schließlich das von der Uni-FR CA gelieferte Zertifikat in das Server- 
-System einbauen. 
- 
-Hintergrundinformationen dazu finden Sie in dem Dokument: **[[serverzertifikat|Serverzertifikat beantragen]]**. 
- 
-Die Anleitung der DFN PKI: **[[https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Anleitung_Nutzung_OpenSSL.pdf|Anleitung zur Nutzung von OpenSSL in der DFN-PKI (PDF-Datei)]]** 
- 
-Die Anleitung des DFN CERT: **[[http://www.dfn-cert.de/informationen/themen/verschluesselung_und_pki/openssl-kurzreferenz.html|OpenSSL-Kurzreferenz]]** 
  
 Auf Linux-Systemen sollte openSSL grundsätzlich bereits installiert sein. Auf Linux-Systemen sollte openSSL grundsätzlich bereits installiert sein.
Zeile 25: Zeile 16:
   * Die Abteilung ist das Rechenzentum   * Die Abteilung ist das Rechenzentum
   * Der Schlüsselbund zur Aufbewahrung der eigenen Schlüssel sei /var/lib/.keystore\\ (unter Windows üblicherweise C:\Dokumente und Einstellungen\(Benutzername)\.keystore)   * Der Schlüsselbund zur Aufbewahrung der eigenen Schlüssel sei /var/lib/.keystore\\ (unter Windows üblicherweise C:\Dokumente und Einstellungen\(Benutzername)\.keystore)
-  * Der Schlüssel soll auf hohe Sicherheit (Länge 4096 Bit) eingestellt sein +  * Der Schlüssel soll auf hohe Sicherheit (Länge 4096 Bit) eingestellt sein. 
-    * Bis 2020 kann auch ein neues Zertifikat mit 2084 Bit Schlüssellänge erstellt werdenDas Zertifikats darf dann allerdings nach BSI-Richtlinien nur bis maximal 31.12.2022 gültig sein. +
-  * Der Gültigkeitszeitraum wird auf die maximale von der Uni-FR CA akzeptierten Zeitdauer von 2 Jahre (730 Tage) konfiguriert+
 \\  \\ 
 Es soll hier ein Schlüsselpaar inclusive einem selbstsignierten Zertifikat mit folgendem eindeutigen Name erzeugt werden: Es soll hier ein Schlüsselpaar inclusive einem selbstsignierten Zertifikat mit folgendem eindeutigen Name erzeugt werden:
Zeile 63: Zeile 52:
 <code> <code>
 [ req ] [ req ]
-default_bits           2048+default_bits           4096
 distinguished_name     = req_distinguished_name distinguished_name     = req_distinguished_name
 prompt                 = no prompt                 = no
Zeile 74: Zeile 63:
 OU                     = Rechenzentrum OU                     = Rechenzentrum
 CN                     = server1.uni-freiburg.de CN                     = server1.uni-freiburg.de
-emailAddress           = admin@server1.uni-freiburg.de 
 </code> </code>
  
Zeile 83: Zeile 71:
 <code> <code>
 [ req ] [ req ]
-default_bits           2048+default_bits           4096
 distinguished_name     = req_distinguished_name distinguished_name     = req_distinguished_name
 prompt                 = no prompt                 = no
Zeile 95: Zeile 83:
 OU                     = Rechenzentrum OU                     = Rechenzentrum
 CN                     = server1.uni-freiburg.de CN                     = server1.uni-freiburg.de
-emailAddress           = admin@server1.uni-freiburg.de 
  
 [ v3_req ] [ v3_req ]
Zeile 117: Zeile 104:
  
 <code> <code>
-$ openssl req -new -sha256 -days 1825 -key /var/lib/.keystore -out server1.csr -config req_config+$ openssl req -new -sha256 -key /var/lib/.keystore -out server1.csr -config req_config
 </code> </code>
  
Zeile 131: Zeile 118:
 Die Datei server1.csr können Sie im Web-Interface der Uni-FR CA Die Datei server1.csr können Sie im Web-Interface der Uni-FR CA
  
-**[[https://pki.pca.dfn.de/dfn-ca-global-g2/cgi-bin/pub/pki?cmd=pkcs10_req;id=1;menu_item=2;XSEC=5e540869bd1c44454fc8a2667907002c50f03e67e4fb4cae29639d6a878f239d&RA_ID=4160|Link]]**+**[[https://pki.pca.dfn.de/uni-freiburg-ca-g2/pub|Link zur DFN PKI zur Beantragung des Zertifikats]]**
  
  
Zeile 257: Zeile 244:
 \\ \\
  
-===== Literatur ===== 
- 
-  * http://www.dfn-cert.de/informationen/themen/verschluesselung_und_pki/openssl-kurzreferenz.html 
-  * http://wiki.cacert.org/FAQ/subjectAltName 
-  * http://apetec.com/support/GenerateSAN-CSR.htm 
-  * http://wiki.gwdg.de/index.php/Erzeugung_von_Zertifikatantraegen_mit_Subject_Alternative_Name_fuer_virtuelle_Webserver_auf_Basis_von_OpenSSL_fuer_die_DFN-PKI\\ (An die lokalen Gegebenheiten anpassen!) 
-  * http://apetec.com/support/GenerateCSR.htm\\ (Für IIS 7 Microsoft Windows Server 2008) 
- 
-\\  
-\\  
-\\  
- 
-{{tag>zertifikate sicherheit openssl}} 
  

Zuletzt angesehen:

QR-Code
QR-Code Einen CSR-Requests für ein Serverzertifikat mit openSSL erstellen (erstellt für aktuelle Seite)