«
»

Create certificates with OpenSSH

22. November 2006 von KG

Die Anleitung von Dr. Lotz wurde leider nicht überarbeitet, deshalb hier eine Schritt-für-Schritt-Anleitung…

1. Als root einloggen.

2. openssl.conf anpassen, falls noch nicht geschehen (siehe openssl.cnf"myWonderfulHostname" mit entsprechendem Servernamen ersetzen…). Am wichtigsten ist das commonName-Attribut!

3. Verzeichnis anlegen

 

cd ~ && mkdir myWonderfulHostnameCA && cd myWonderfulHostnameCA

 

4. Unterverzeichnisse anlegen

 

mkdir certs newcerts crl private && touch index.txt && echo "01" > serial

 

5. Jetzt wird die CA erzeugt. Zur Sicherheit commonName manuell eingeben. Passphrase gut sichern!!!

 

openssl req -new -x509 -keyout private/myWonderfulHostnameCA_prv_key.pem -out myWonderfulHostnameCA_cert.pem -days 3650

 

6. Schlüsselpaar für den Server erzeugen.

 

openssl req -new -keyout certs/myWonderfulHostname_prv_key.pem -out certs/myWonderfulHostname_req.pem -days 3650

 

7. Unverschlüsselten Key erzeugen. – Wenn dieser benutzt wird, sollte man sich um die Rechte so kümmern, dass nur die Prozesse darauf zugreifen können, die ihn benötigen! Das ginge ggf. mit ACLs.

 

openssl rsa < certs/myWonderfulHostname_prv_key.pem > myWonderfulHostname_prv_key-unverschluesselt.pem

 

8.

9. Öffentlichen Schlüssel mit privatem der CA unterschreiben:

 

openssl ca -policy policy_anything -notext -out certs/myWonderfulHostname_cert.pem -infiles certs/myWonderfulHostname_req.pem

 

10. Jetzt gehts daran, Apache unsere Files bekannt zu machen. Erst einmal /etc/httpd/conf/ssl. sichern! Apache benötigt:

  • • SSLCertificateFile (default: server.crt) => Das entspricht dem von uns generierten /root/myWonderfulHostnameCA/certs/myWonderfulHostname_cert.pem.
  • • SSLCertificateKeyFile (default: server.key) => Wenn wir die unverschlüsselte Version verwenden möchten (keine PW-Abfrage beim Apache reboot) nehmen wir: /root/myWonderfulHostnameCA/myWonderfulHostname_prv_key-unverschluesselt.pem , ansonsten benutzt der Hardcore-Admin bestimmt viel lieber /root/myWonderfulHostnameCA/certs/myWonderfulHostname_prv_key.pem

… Also:

 

mv /etc/httpd/conf/ssl.crt/server.crt /etc/httpd/conf/ssl.crt/server.crt.bak && cp /root/myWonderfulHostnameCA/certs/myWonderfulHostname_cert.pem /etc/httpd/conf/ssl.crt/server.crt

 

 

und

 

mv /etc/httpd/conf/ssl.key/server.key /etc/httpd/conf/ssl.key/server.key.bak && cp /root/myWonderfulHostnameCA/myWonderfulHostname_prv_key-unverschluesselt.pem /etc/httpd/conf/ssl.key/server.key

 

11.

12. Apache neustarten.

apachectl stop && apachectl start

 

Tags: , , , , , , , , .
  1. Keine Kommentare

«
»