Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- opensslcert [2019/04/10 12:05] – [Schlüsselpaar generieren] mt1051
+++ opensslcert [2023/01/10 15:43] – [Erzeugen, speichern, überprüfen] rwelte
@@ Zeile 1: / Zeile 1: @@
 ====== Serverzertifikat mit openSSL bearbeiten ======
-Auf dieser Seite zeigen wir Ihnen, wie Sie mit openSSL ein Schlüsselpaar generieren, den
-CSR (Certificate Signing Request) erzeugen und schließlich das von der Uni-FR CA gelieferte Zertifikat in das Server-
-System einbauen.
-Hintergrundinformationen dazu finden Sie in dem Dokument: **[[serverzertifikat|Serverzertifikat beantragen]]**.
-Die Anleitung der DFN PKI: **[[https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Anleitung_Nutzung_OpenSSL.pdf|Anleitung zur Nutzung von OpenSSL in der DFN-PKI (PDF-Datei)]]**
-Die Anleitung des DFN CERT: **[[http://www.dfn-cert.de/informationen/themen/verschluesselung_und_pki/openssl-kurzreferenz.html|OpenSSL-Kurzreferenz]]**
 Auf Linux-Systemen sollte openSSL grundsätzlich bereits installiert sein.
@@ Zeile 26: / Zeile 17: @@
   * Der Schlüsselbund zur Aufbewahrung der eigenen Schlüssel sei /var/lib/.keystore\\ (unter Windows üblicherweise C:\Dokumente und Einstellungen\(Benutzername)\.keystore)
   * Der Schlüssel soll auf hohe Sicherheit (Länge 4096 Bit) eingestellt sein.
-    * Bis 2020 kann auch ein neues Zertifikat mit 2084 Bit Schlüssellänge erstellt werden. Das Zertifikats darf dann allerdings nach BSI-Richtlinien nur bis maximal 31.12.2022 gültig sein.
-    * **Spätestens ab 2020 muss bei einem neuen Zertifikat eine Schlüssellänge von 4096 Bit verwendet werden.**
-  * Der Gültigkeitszeitraum wird auf die maximale von der Uni-FR CA akzeptierten Zeitdauer von 2 Jahre (730 Tage) konfiguriert
 \\
 Es soll hier ein Schlüsselpaar inclusive einem selbstsignierten Zertifikat mit folgendem eindeutigen Name erzeugt werden:
@@ Zeile 64: / Zeile 52: @@
 <code>
 [ req ]
-default_bits           = 2048
+default_bits           = 4096
 distinguished_name     = req_distinguished_name
 prompt                 = no
@@ Zeile 75: / Zeile 63: @@
 OU                     = Rechenzentrum
 CN                     = server1.uni-freiburg.de
-emailAddress           = admin@server1.uni-freiburg.de
 </code>
@@ Zeile 84: / Zeile 71: @@
 <code>
 [ req ]
-default_bits           = 2048
+default_bits           = 4096
 distinguished_name     = req_distinguished_name
 prompt                 = no
@@ Zeile 96: / Zeile 83: @@
 OU                     = Rechenzentrum
 CN                     = server1.uni-freiburg.de
-emailAddress           = admin@server1.uni-freiburg.de
 [ v3_req ]
@@ Zeile 118: / Zeile 104: @@
 <code>
-$ openssl req -new -sha256 -days 1825 -key /var/lib/.keystore -out server1.csr -config req_config
+$ openssl req -new -sha256 -key /var/lib/.keystore -out server1.csr -config req_config
 </code>
@@ Zeile 130: / Zeile 116: @@
 </code>
-Die Datei server1.csr können Sie im Web-Interface der Uni-FR CA
-**[[https://pki.pca.dfn.de/dfn-ca-global-g2/cgi-bin/pub/pki?cmd=pkcs10_req;id=1;menu_item=2;XSEC=5e540869bd1c44454fc8a2667907002c50f03e67e4fb4cae29639d6a878f239d&RA_ID=4160|Link]]**
-direkt über die Schaltfläche **Durchsuchen** hochladen lassen.
-Das Antragsverfahren mit Hilfe des Web-Interface der Uni-FR CA ist beschrieben in dem Dokument
-  * **[[serverzertifikat|Serverzertifikat beantragen]]**
 \\
@@ Zeile 258: / Zeile 234: @@
 \\
-===== Literatur =====
-  * http://www.dfn-cert.de/informationen/themen/verschluesselung_und_pki/openssl-kurzreferenz.html
-  * http://wiki.cacert.org/FAQ/subjectAltName
-  * http://apetec.com/support/GenerateSAN-CSR.htm
-  * http://wiki.gwdg.de/index.php/Erzeugung_von_Zertifikatantraegen_mit_Subject_Alternative_Name_fuer_virtuelle_Webserver_auf_Basis_von_OpenSSL_fuer_die_DFN-PKI\\ (An die lokalen Gegebenheiten anpassen!)
-  * http://apetec.com/support/GenerateCSR.htm\\ (Für IIS 7 Microsoft Windows Server 2008)
-\\
-\\
-\\
-{{tag>zertifikate sicherheit openssl}}

Zuletzt angesehen:

Unterschiede

Suche

Navigation

Drucken/exportieren

Werkzeuge

QR-Code