Zum Inhalt

OpenSSL

Wie erzeugt man eine eigene RootCA und signiert Webserver-Zertifikate damit?

Private Key für RootCA erzeugen

openssl genrsa -aes256 -out myPrivRootCA.enckey 4096

Zerifikat zum RootCA erzeugen

openssl req -x509 -new -sha512 -days 1826 
            -key myPrivRootCA.enckey
            -out myPrivRootCA.crt
            -extensions v3_ca

Private Key sowie CSR für Webserver erstellen

openssl req -newkey rsa:4096
            -keyout site.int.rootuser.eu.enckey 
            -out site.int.rootuser.eu.csr

Privaten Key entschlüsseln

openssl rsa -in site.int.rootuser.eu.enckey > site.int.rootuser.eu.key
chmod 600 site.int.rootuser.eu.key

CSR mit RootCA signieren

Dafür müssen wir zunächst eine kleine Config-Datei anlegen, damit das "Subject Alternative Name" korrekt gesetzt wird.

Config-Datei mit folgendem Inhalt anlegen

[v3_req]
subjectAltName = @alt_names
[alt_names]
DNS.1 = site.int.rootuser.eu
zum Beispiel in Datei ext.cnf

Dann kann das CSR signiert werden

openssl x509 -req -sha512 -days 1095
             -CA myPrivateRootCA.crt -CAkey myPrivateRootCA.enckey -CAcreateserial
             -in site.int.rootuser.eu.csr -out site.int.rootuser.eu.crt
             -extensions v3_req -extfile ext.cnf