Mit openssl zum self-signed certificate
Das brauch ich immer dann, wenn ich Philip Hazels exim-Buch, aus dem diese Kommandozeile stammt, nicht griffbereit habe:
openssl req -x509 -sha256 -newkey rsa:4096 -keyout keyfile -out certfile -days 9000 -nodes
Wichtig: Vorher /etc/ssl/openssl.cnf anpassen, sonst hat man leicht "Some-Foo" in irgend einem Feld stehen.
9999 Tage kann man nicht mehr nehmen, das sprengt die Zeitrechnung. openssl nimmt das klaglos, und OpenVPN beschwert sich danach über ein abgelaufenes Zertifikat.
Ausgabe zur Prüfung geht dann mit
openssl x509 -in certfile -text
Gegen ein CA-Zertifikat prüft man mit:
openssl verify -CAfile fsckCA/cacert.crt -verbose -purpose sslserver
wobei man den "purpose" noch varrieren kann (z.B. sslclient für ein Client-Zertifikat).
Danke außer an Philip noch an Andreas Pommer, der mir das vor vielen Monaten per E-Mail schrieb.
Continue reading "Mit openssl zum self-signed certificate"