Benutzer-Werkzeuge

Webseiten-Werkzeuge


de:sysadmin:tools:ssl-cert-basteln

SSL Cert Bastel-Arbeiten

Am praktischsten ist ja meistens, wenn man irgendwo einen Cert-Bot laufen lässt, der die ganze Zertifikat-Neuausstellung automatisch und regelmäßig selber macht. Außerdem bekommt man da seine Zertifikate und alles was dazu gehört, in praktischem Format und die Dateien haben logische Namen.

Manchmal kommt man aber nicht drum rum - ein "richtiges" Zertifikat soll gekauft werden, man muss also einen Zertifikat-Request + Key bauen, beantragt dass bei einer Firma die je nach Typ teuer Geld dafür verlangt und dann bekommt man eine ZIP-Datei mit sonderbar benannten Dateien in unpraktischen Packmaß zurück und darf erst mal herausfinden was da für was ist und wie man das als PEM für Webserver oder sonstiges Gerät zusammenbastelt.

Das Tool der Wahl ist fast immer openssl, leider ist da die Bedienung auch für Kommandozeilenfreunde nicht immer so eingängig.

Hier eine (kleine, keineswegs vollständige) Sammlung von openssl-Befehlen …

Generiere ein Zertifikatsrequest

CSR=Zertifikatsrequest, also eine Datei die wir dem Dienstleister vorlegen damit der uns ein Zertifikat zurückgibt.

Man kann sich die ganzen Infos, für wen das Zertifikat ist usw. auch interaktiv abfragen lassen, aber alles in einer Zeile finde ich netter:

Hier wollen wir ein Zertifikat für alle direkten Subdomains von example.com beantragen (*.example.com, gilt also z.B. für www.example.com und mail.example.com 1)). Wir machen das für die "Example GmbH" im Ort München (L=Munich), Bundesstaat Bayern ST=BY, Deutschland (C=DE).

$ openssl req -nodes -newkey rsa:2048 \
  -keyout star.example.com.key -out star.example.com.csr \
  -subj "/C=DE/ST=BY/L=Munich/O=Example GmbH/CN=*.example.com"
Generating a RSA private key
..............+++++
..................+++++
writing new private key to 'star.example.com.key'

Die Datei star.example.com.csr reicht man dann bei seinem SSL-Zertifizierungs-Dienstleister ein (dort die Anleitung lesen).

Wenn man wie hier ein ganzes Domain-Zertifikat beantragt, muss man normalerweise nachweisen, dass man da auch Verfügungsrechte hat (z.B. in dem man einen TXT-Eintrag im DNS setzt. Was genau verlangt wird - Doku des Anbieters lesen)


To be continued …

1)
*.example.com kann man NICHT für test.hosting.example.com verwenden, für test-hosting.example.com wäre es aber gültig
de/sysadmin/tools/ssl-cert-basteln.txt · Zuletzt geändert: 2021-11-08 19:28 von hella

Seiten-Werkzeuge

Mastodon Twitter