SSL-Zertifikat
Sie wollten immer schonmal wissen, wie man ein SSL-Zertifikat erstellt.
Zu unterscheiden wäre zwischen einem, durch ein CA Certificate Authority signiertes oder einem selbstsigniertem Zertifikat.
Da wir selbst signieren wollen, erklären wir uns schlicht selbst zur CA
Der Sinn ist grundsätzlich, dass derlei offizielle CA’s die Vertrauswürdigkeit von Zertifikaten garantieren sollen. Einige dieser Anbieter werden in den Browsern bereits gelistet,
so dass diese von gelisteten CA’s signierte Zertifikate nicht beanstanden.
Ich nehme ihnen ungern die Illusion der Sicherheit, aber in der Vergangenheit wurden bereits solche CA’s „übernommen“. Hier sei nur der Anbieter DigiCert aufgeführt. Der Kunde wägt sich in ein einer Sicherheit, die keine wirklich ist. Ein Restrisiko bleibt immer…
Erstellung des RootZertifikats:
Wir erstellen uns eins mit 4096 Bit
Schritt 1
openssl genrsa -out rootCA.key 4096
Das sieht dann in etwa so aus:
VlWAheJ6v3dGJBnVquHWZhnAeYNy0D+hQetbfLaPQcpZWz+SyqfAMsXnu4z9TbFg
P0y4DgvZHtJgA9aoFPhfVeVx6H9jsq5OC8ascXXX9u1dRdTeGNVEwEQUKTeSn0Lo
RGLBd4YvXSSUuStMQDCqYxa6jplwqozX1LY+aaCm49AhMwHB7oXGCrz93XgPSPXW
RS1J1RH5S8h4G6vywE1ZBvQgTOhr14fPLrUCL/wX1qtvyV7oeccoYiK9WzLwj2z4
……
Schritt 2
openssl req -x509 -new -key rootCA.key -days 3650 -out rootCA.pem
Mit diesem als Grundlage erstellen wir uns ein Zertifikat für unsere Website:
Schritt 3
openssl genrsa -out lomida.key 4096
Es werden einige Daten abgefragt. Wichtig ist hier der CN – dies muss exakt der Wert sein, der in der URL erscheint.
http://www.lomida.de
entspricht nicht
http://lomida.de
lomida.key
—–BEGIN CERTIFICATE—–
MIIGLTCCBBWgAwIBAgIJAJ6XtcUgJWUMMA0GCSqGSIb3DQEBCwUAMIGsMQswCQYD
VQQGEwJERTEXMBUGA1UECAwOU2FjaHNlbi1BbmhhbHQxGTAXBgNVBAcMEExldW5h
IE9UIFNwZXJnYXUxFTATBgNVBAoMDENyb3dkZm91bmRlcjEMMAoGA1UECwwDQ0VP
MR8wHQYDVQQDDBZodHRwOi8vY3Jvd2Rmb3VuZGVyLmRlMSMwIQYJKoZIhvcNAQkB
…..
—–END CERTIFICATE—–
Jetzt die Signaturanfrage
Schritt 4
openssl req -new -key lomida.key -out lomida.csr
Jetzt muss das erzeugte Zertifikat signiert werden.
Schritt 5
openssl x509 -req -days 1050 -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -CAserial serial -in lomida.csr -out zertifikat-lomida.pem
prüfen ob alles ok ist.
Schritt 6 (optional)
openssl verify -verbose -CAfile rootCA.pem zertifikat-lomida.pem
Jetzt kann das Zertifikat im eigenem Webangebot genutzt werden.
Es wird die fehlende Gültigkeit bescheinigt. Man kann das Zertifikat allerdings auch manuell hinzufügen
und erhält die Meldung nicht mehr.