OpenSSL
Wie erzeugt man eine eigene RootCA und signiert Webserver-Zertifikate damit?
Private Key für RootCA erzeugen
openssl genrsa -aes256 -out myPrivRootCA.enckey 4096
Zerifikat zum RootCA erzeugen
openssl req -x509 -new -sha512 -days 1826
-key myPrivRootCA.enckey
-out myPrivRootCA.crt
-extensions v3_ca
Private Key sowie CSR für Webserver erstellen
openssl req -newkey rsa:4096
-keyout site.int.rootuser.eu.enckey
-out site.int.rootuser.eu.csr
Privaten Key entschlüsseln
openssl rsa -in site.int.rootuser.eu.enckey > site.int.rootuser.eu.key
chmod 600 site.int.rootuser.eu.key
CSR mit RootCA signieren
Dafür müssen wir zunächst eine kleine Config-Datei anlegen, damit das "Subject Alternative Name" korrekt gesetzt wird.
Config-Datei mit folgendem Inhalt anlegen
[v3_req]
subjectAltName = @alt_names
[alt_names]
DNS.1 = site.int.rootuser.eu
Dann kann das CSR signiert werden
openssl x509 -req -sha512 -days 1095
-CA myPrivateRootCA.crt -CAkey myPrivateRootCA.enckey -CAcreateserial
-in site.int.rootuser.eu.csr -out site.int.rootuser.eu.crt
-extensions v3_req -extfile ext.cnf