SSL/TLS-Zertifikate werden in der Regel für Authentifizierung und Verschlüsselung verwenden. Betreibt man z.B. einen Webserver und möchte den Zugriff darauf mit einem selbstsignierten Zertifikat absichern, so lässt sich dies mit ein paar Befehlen umsetzen.
Voraussetzung
Zum Erstellen des SSL-Zertifkats wird OpenSSL verwendet. Für Windows kann die Light-Version von Shinning Light Productions verwendet werden.
Vorbereitung
Eine Eingabeaufforderung öffnen, in den Ordner “C:\OpenSSL-Win32\bin” wechseln und diese Variablen setzen:
set openssl_conf=C:\OpenSSL-Win32\bin\openssl.cfg set RANDFILE=C:\OpenSSL-Win32\bin\.rnd
Schlüssel erzeugen
Mit folgendem Befehl wird der Schlüssel erzeugt, mit dem das Zertifikat unterschrieben wird:
openssl.exe genrsa -des3 -out schluessel.key 2048
Eine Passphrase muss eingegeben werden, diese wird später wieder entfernt.
Selbstsigniertes Zertifikat erzeugen (Gültigkeit: 25 Jahre)
openssl req -new -x509 -key schluessel.key -out zertifikat.pem -days 9125
Passphrase entfernen
copy schluessel.key schluessel.key.org openssl rsa -in schluessel.key.org -out schluessel.key
Schlüssel und Zertifikat zusammenführen
copy /b zertifikat.pem + schluessel.key cert.pem
Ob man den letzten Befehl benötigt, hängt davon ab ob man beides zusammen in einer Datei benötigt. Je nach Programm oder Webserver kann es vorkommen, das man Zertifikat und Schlüssel getrennt oder zusammen angeben kann oder gar muss.
Tipp: Zertifikats-Info anzeigen
openssl x509 -in cert.pem -noout -text
Quellen
http://www.openssl.org/docs/HOWTO/certificates.txt
http://www.akadia.com/services/ssh_test_certificate.html
http://wiki.samat.org/CheatSheet/OpenSSL
P.S.: Das mit diesen Befehlen erstellte Zertifikat kann für das Web-Interface einer Securepoint UTM (Link) verwendet werden.
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Artikel (RSS)
XING
Danke für diese unkomplizierte Anleitung. Sie können es noch dahingehend erweitern, indem die Umgebungsvariablen (set) in den “Erweiterten Systemeinstellungen” fest eingetragen werden können, wenn man öfter Zertifikate erstellen will oder muss.
Ich empfehle übrigens nur eine Gültigkeitsdauer von 20 Jahren (7305 Tage), weil sich das wegen der Schaltjarestage besser rechnet, die Sie vergessen haben. ;o)