Skip to content

Mit openssl zum self-signed certificate

Das brauch ich immer dann, wenn ich Philip Hazels exim-Buch, aus dem diese Kommandozeile stammt, nicht griffbereit habe:
openssl req -x509 -sha256 -newkey rsa:4096 -keyout keyfile -out certfile -days 9000 -nodes
Wichtig: Vorher /etc/ssl/openssl.cnf anpassen, sonst hat man leicht "Some-Foo" in irgend einem Feld stehen.

9999 Tage kann man nicht mehr nehmen, das sprengt die Zeitrechnung. openssl nimmt das klaglos, und OpenVPN beschwert sich danach über ein abgelaufenes Zertifikat.

Ausgabe zur Prüfung geht dann mit
openssl x509 -in certfile -text
Gegen ein CA-Zertifikat prüft man mit:
openssl verify -CAfile fsckCA/cacert.crt -verbose -purpose sslserver
wobei man den "purpose" noch varrieren kann (z.B. sslclient für ein Client-Zertifikat).

Danke außer an Philip noch an Andreas Pommer, der mir das vor vielen Monaten per E-Mail schrieb.

Und hier noch etwas, was sich Richard W. Könnig kurz aus seiner Shellhistory zusammengesucht hat:

mkdir demoCA export OPENSSL_CONF=/usr/ssl/openssl.cnf openssl req -x509 -newkey rsa -out cacert.pem -outform PEM mv cacert.pem demoCA mkdir demoCA/private mv privkey.pem demoCA/private/cakey.pem mkdir demoCA/certs mkdir demoCA/crl mkdir demoCA/newcerts vi ./demoCA/serial touch ./demoCA/index.txt

openssl req -newkey rsa:1024 -nodes -keyout testkey.pem -keyform PEM -out testreq.pem -outform PEM openssl ca -in testreq.pem cp demoCA/newcerts/00.pem testcert.pem openssl verify -CAfile demoCA/cacert.pem testcert.pem openssl verify -CAfile demoCA/cacert.pem -verbose testcert.pem openssl verify -CAfile demoCA/cacert.pem -issuer_checks testcert.pem openssl verify -CAfile demoCA/cacert.pem -purpose sslserver testcert.pem openssl verify -CAfile demoCA/cacert.pem -purpose sslserver -verbose testcert.pem

Trackbacks

No Trackbacks

Comments

Display comments as Linear | Threaded

slaxor on :

eine demoCA ist nur ein "klick" enfernt: -----------88----------->8-----------

-----------88-----------

Add Comment

Markdown format allowed
Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Standard emoticons like :-) and ;-) are converted to images.
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.
Form options