OpenSSL
Neue Zertifikate mit OpenSSL erstellen
Einleitung
In dieser Anleitung werden wir mithilfe von OpenSSL TLS Zertifikate erstellen, mit dem wir dann unseren Web-Server über HTTPS erreichbar machen können. OpenSSL ist für diesen Zweck eine passende Alternative, da diese keine Verbindung ins Internet benötigt, und kostenlos verwendbar ist.
Um diese Zertifikate zu erstellen, müssen wir sicherstellen, dass wir das Paket openssl
installiert haben. Wenn dies nicht der Fall ist, können wir dieses eben nachinstallieren.
apt update && apt install openssl -y
Erstellen von PK und CSR
In diesem Abschnitt werden wir einen PK (Private Key) und einen CSR (Certificate Signing Requests) erstellen. Mit diesen Dateien können wir dann unseren Web-Server verschlüsseln.
openssl req -newkey rsa:2048 -nodes -keyout domain.key -out domain.csr
Wenn wir diesen Befehl abgesetzt haben, müssen wir die Abfragen, die Folgen beantworten. Der erste Parameter -newkey rsa:2048
gibt an, dass der Schlüssel 2048 bit lang sein soll, und mit dem RSA Algorithmus verschlüsselt werden soll.
Mit dem zweiten Parameter -nodes
geben wir an, dass wir den Schlüssel nicht mit einem Kennwort verschlüsseln.
CSR aus einem vorhandenen PK erstellen
Der folgende Befehl kann verwendet werden, wenn wir ein CSR (Certificate Signing Requests) erstellen möchten, wir aber schon einen Private Key besitzen, bzw. erstellt haben.
openssl req -key domain.key -new -out domain.csr
Jetzt müssen wir beim ersten Parameter -key
den Dateinamen unseres Schlüssels angeben. Sobald wir das eingetragen haben, können wir den Befehl abschicken und die CSR Datei wird erstellt.
Selbst signiertes SSL Zertifikat erstellen
Jetzt wollen wir ein TLS Zertifikat erstellen, welches nicht von einer externen Zertifizierungsstelle stammt. Dies können wir uns von Gebrauch machen, wenn wir unseren Web-Server verschlüsseln möchten.
openssl req -newkey rsa:2048 -nodes -keyout domain.key -x509 -days 365 -out domain.crt
Der erste Parameter gibt wieder den Verschlüsselungsalgorithmus an. Der Parameter -x509
gibt an, dass wir unser Zertifikat nicht von einer externen Zertifikatsstelle signieren lassen möchten. Und der folgende Parameter -days
gibt an, wie lange unser Zertifikat gültig ist.
PFX Zertifikat in .crt und .key Datei exportieren
Einleitung
Um Zertifikate in bestimmte Software einspielen zu können, benötigen wir manchmal die .crt und die .key Datei. Dazu können wir uns das OpenSSL-Tool zu Hilfe nehmen.
Zertifikat exportieren
.crt Datei exportieren
Um die .crt Datei zu erhalten, müssen wir nur den folgenden Befehl absetzen. Dabei müssen wir im ersten Schritt den Datei-Namen der .pfx-Datei anpassen. Beim Absenden des Befehls geben wir nur noch das Kennwort ein, mit dem das Zertifikat verschlüsselt wurde.
openssl pkcs12 -in <PFX-Zertifikat> -clcerts -nokeys -out <CRT-Datei>
#Beispiel:
openssl pkcs12 -in cert.pfx -clcerts -nokeys -out cert.crt
.key Datei exportieren
Um jetzt die .key Datei zu erhalten, müssen wir diesmal 2 Befehle absetzen. Einmal um die .key-Datei zu erhalten, und im zweiten Schritt um die .key-Datei zu entschlüsseln.
openssl pkcs12 -in cert.pfx -nocerts -out cert-encrypted.key
Im Anschluss folgt jetzt die Entschlüsselung der .key-Datei.
openssl rsa -in cert-encrypted.key -out cert.key
Damit haben wir dann beide Dateien erfolgreich exportiert, um diese dann in bestimmten Anwendungen zu verwenden.