Windows: Mit OpenSSL ein selbstsigniertes Zertifikat erstellen

SSL/TLS-Zertifikate werden in der Regel für Authentifizierung und Verschlüsselung verwenden. Betreibt man z.B. einen Webserver und möchte den Zugriff darauf mit einem selbstsignierten Zertifikat absichern, so lässt sich dies mit ein paar Befehlen umsetzen.

Voraussetzung

Zum Erstellen des SSL-Zertifkats wird OpenSSL verwendet. Für Windows kann die Light-Version von Shinning Light Productions verwendet werden.

Vorbereitung

Eine Eingabeaufforderung öffnen, in den Ordner “C:\OpenSSL-Win32\bin” wechseln und diese Variablen setzen:

set openssl_conf=C:\OpenSSL-Win32\bin\openssl.cfg
set RANDFILE=C:\OpenSSL-Win32\bin\.rnd

Schlüssel erzeugen

Mit folgendem Befehl wird der Schlüssel erzeugt, mit dem das Zertifikat unterschrieben wird:

openssl.exe genrsa -des3 -out schluessel.key 2048

Eine Passphrase muss eingegeben werden, diese wird später wieder entfernt.

Selbstsigniertes Zertifikat erzeugen (Gültigkeit: 25 Jahre)

openssl req -new -x509 -key schluessel.key -out zertifikat.pem -days 9125

Passphrase entfernen

copy schluessel.key schluessel.key.org
openssl rsa -in schluessel.key.org -out schluessel.key

Schlüssel und Zertifikat zusammenführen

copy /b zertifikat.pem + schluessel.key cert.pem

Ob man den letzten Befehl benötigt, hängt davon ab ob man beides zusammen in einer Datei benötigt. Je nach Programm oder Webserver kann es vorkommen, das man Zertifikat und Schlüssel getrennt oder zusammen angeben kann oder gar muss.

Tipp: Zertifikats-Info anzeigen

openssl x509 -in cert.pem -noout -text

Quellen

http://www.openssl.org/docs/HOWTO/certificates.txt

http://www.akadia.com/services/ssh_test_certificate.html

http://wiki.samat.org/CheatSheet/OpenSSL

P.S.: Das mit diesen Befehlen erstellte Zertifikat kann für das Web-Interface einer Securepoint UTM (Link) verwendet werden.

1 Kommentar

  1. Tamara Landis

    Danke für diese unkomplizierte Anleitung. Sie können es noch dahingehend erweitern, indem die Umgebungsvariablen (set) in den “Erweiterten Systemeinstellungen” fest eingetragen werden können, wenn man öfter Zertifikate erstellen will oder muss.

    Ich empfehle übrigens nur eine Gültigkeitsdauer von 20 Jahren (7305 Tage), weil sich das wegen der Schaltjarestage besser rechnet, die Sie vergessen haben. ;o)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2024 Andy's Blog

Theme von Anders NorénHoch ↑