Zertifikatsverwaltung mit OpenSSL (Teil 1)

Eingetragen bei: Zertifikate | 0

Nach meinen Artikeln über das Java keytool folgt nun noch eine kleine Reihe über OpenSSL. Auch für OpenSSL habe ich mir einige bat Dateien erstellt, um das Getippe auf der Kommandozeilen etwas zu verkürzen.

Für Windows kann man binäre Dateien hier herunterladen: https://slproweb.com/products/Win32OpenSSL.html und installieren. Bis auf das hier beschriebene Problem, hatte ich bisher keine.

Generell sollte man bei OpenSSL beachten, dass die Reihenfolge der Parameter wichtig ist. Im Gegensatz zum keytool von Java, bei dem es egal ist, in welcher Reihenfolge die Parameter geschrieben werden.

1_createkey.bat

Befehlszeile:

Erläuterung:

Mit genkey Befehl erstellt man einen privaten Schlüssel für die Zertifikatsverwaltung.

  • out gibt den Pfad und Dateinamen der zu schreibenden key Datei an.
  • pass ist das Passwort des Schlüssels und wird mit vorangestelltem pass: angegeben.
  • des3 ist der Verschlüsselungsalgorithmus mit dem die key Datei verschlüsselt wird
  • algorithm ist der Algorithmus, mit dem der Schlüssel erstellt wird
  • rsa_keygen_bits ist die Größe des Schlüssels. Standardmäßig sind dis 1024 bit.

 

2_csr.bat

Befehlszeile:

Erläuterung:

Möchte man ein Zertifikat von einem Zertifikatsaussteller, braucht einen Certificate Signing Request (CSR). Diesen erstellt man mit dem Befehl req.

  • passin ist das Passwort der key Datei. Das Passwort wird mit vorangestelltem pass: angegeben.
  • out gibt den Pfad und Dateinamen des zu erstellenden CSR an.
  • new erstellt den neuen CSR.
  • key gibt den Pfad zur key Datei an.

Wie ein Certificate Signing Request aussehen kann, sieht man hierRuft man die bat Datei auf, werden verschiedene Informationen abgefragt. Unter anderem wird nach Vor- und Nachname (common name) gefragt. Will man ein Serverzertifikat erstellen muss man hier den FQDN angeben: example.com. Die restlichen Fragen sind selbsterklärend bzw. können auch ggf. leer gelassen werden. Umlaute sollte man vermeiden.

 

3_selfsign.bat

Befehlszeile:

Erläuterung:

Mit req Befehl kann man auch selbstsignierte Zertifikate erstellen.

  • passin ist das Passwort der key Datei. Das Passwort wird mit vorangestelltem pass: angegeben.
  • out gibt den Pfad und Dateinamen des erstellten Zertifikats an.
  • new erstellt eigentlich einen neuen CSR. In Verbindung mit x509 wird allerdings ein selbstsigniertes Zertifikat erstellt.
  • x509 erstellt ein neues selbstsigniertes Zertifikat.
  • days ist die Gültigkeit des Zertifikats in Tagen
  • key gibt den Pfad zur key Datei an.

Im zweiten Teil wird es um die Umwandlung verschiedener Zertifikatstypen gehen.

Hinterlasse einen Kommentar