Dokumentation5.5. Zertifizierungsstelle
Wenn die Dienste in Ihrem Netzwerk mehr als ein paar selbstsignierte Zertifikate erfordern, lohnt sich möglicherweise der zusätzliche Aufwand, ein eigenes internes Zertifikat einzurichten Zertifizierungsstelle (CA). Durch die Verwendung von von Ihrer eigenen Zertifizierungsstelle signierten Zertifikaten können die verschiedenen Dienste, die die Zertifikate verwenden, problemlos anderen Diensten vertrauen, die von derselben Zertifizierungsstelle ausgestellte Zertifikate verwenden.
1. Erstellen Sie zunächst die Verzeichnisse für das CA-Zertifikat und die zugehörigen Dateien:
sudo mkdir /etc/ssl/CA
sudo mkdir /etc/ssl/newcerts
2. Die Zertifizierungsstelle benötigt für den Betrieb einige zusätzliche Dateien: eine, um die letzte von der Zertifizierungsstelle verwendete Seriennummer zu verfolgen, jedes Zertifikat muss eine eindeutige Seriennummer haben und eine weitere Datei, um aufzuzeichnen, welche Zertifikate ausgestellt wurden:
sudo sh -c "echo '01' > /etc/ssl/CA/serial" sudo touch /etc/ssl/CA/index.txt
3. Die dritte Datei ist eine CA-Konfigurationsdatei. Obwohl dies nicht unbedingt erforderlich ist, ist es bei der Ausstellung mehrerer Zertifikate sehr praktisch. Bearbeiten /etc/ssl/openssl.cnf, und in der [ CA_default ] ändern:
dir = /etc/ssl # Wo alles aufbewahrt wird. Datenbank = $dir/CA/index.txt # Datenbankindexdatei. Certificate = $dir/certs/cacert.pem # Das CA-Zertifikat
serial = $dir/CA/serial # Die aktuelle Seriennummer private_key = $dir/private/cakey.pem# Der private Schlüssel
4. Als nächstes erstellen Sie das selbstsignierte Stammzertifikat:
openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650
Anschließend werden Sie aufgefordert, die Details zum Zertifikat einzugeben.
5. Installieren Sie nun das Root-Zertifikat und den Schlüssel:
Sudo mv cakey.pem /etc/ssl/private/ Sudo mv cacert.pem /etc/ssl/certs/
6. Sie können jetzt mit dem Signieren von Zertifikaten beginnen. Das erste benötigte Element ist eine Zertifikatssignierungsanforderung (CSR), siehe Abschnitt 5.2, „Generieren einer Zertifikatssignierungsanforderung (CSR)“ [S. 199] für Einzelheiten. Sobald Sie einen CSR haben, geben Sie Folgendes ein, um ein von der Zertifizierungsstelle signiertes Zertifikat zu generieren:
sudo openssl ca -in server.csr -config /etc/ssl/openssl.cnf
Nachdem Sie das Passwort für den CA-Schlüssel eingegeben haben, werden Sie aufgefordert, das Zertifikat zu signieren und erneut das neue Zertifikat zu übertragen. Sie sollten dann eine relativ große Ausgabemenge im Zusammenhang mit der Zertifikatserstellung sehen.
7. Es sollte nun eine neue Datei vorhanden sein, /etc/ssl/newcerts/01.pem, mit der gleichen Ausgabe. Kopieren Sie alles, beginnend mit der Zeile, und fügen Sie es ein: ----- ZERTIFIKAT BEGINNEN ----- und weiter durch die Zeile: ----ENDE ZERTIFIKAT----- Zeilen in eine Datei, die nach dem Hostnamen des Servers benannt ist, auf dem das Zertifikat installiert wird. Zum Beispiel mail.example.com.crt, ist ein schöner beschreibender Name.
Nachfolgende Zertifikate werden benannt 02.pem, 03.pem, usw.
Ersetzen mail.example.com.crt mit Ihrem eigenen beschreibenden Namen.
8. Kopieren Sie abschließend das neue Zertifikat auf den Host, der es benötigt, und konfigurieren Sie die entsprechenden Anwendungen für die Verwendung. Der Standardspeicherort für die Installation von Zertifikaten ist /etc/ssl/certs. Dadurch können mehrere Dienste dasselbe Zertifikat verwenden, ohne dass übermäßig komplizierte Dateiberechtigungen erforderlich sind.
Für Anwendungen, die für die Verwendung eines CA-Zertifikats konfiguriert werden können, sollten Sie auch das kopieren /etc/ssl/certs/cacert.pem Datei an die /etc/ssl/certs/ Verzeichnis auf jedem Server.