====== Zertifikate - Selbstsigniert ======
Selbst-signierte Zertifikate werden von einer [[devices:env:ca|Certificate Authority]] ausgestellt und im Wesentlichen für interne Zertifikate benutzt.

===== Zertifikat erstellen =====
Zur Zertifikatserstellung müssen zunächst folgende Variablen festgelegt werden:

^ Variable        ^ Beschreibung                                                ^ Beispiel    ^
^ CA-Anbieter     | Siehe [[devices:env:ca|]]                                   | Linux-WHV   |
^ Datum           | Erzeugungsdatum des Zertifikates im ISO 8601 Format         | 2026-01-01  |
^ hostname        | Hostname des Gerätes                                        | sv1         |
^ yourdomain      | Lokale Domain (am Beispiel einer Fritz!Box)                 | fritz.box   |

==== Key erzeugen ====
Auf dem Gerät mit der Certificate Authority in den Ordner <CA-Anbieter>-CA wechseln

<code>
 openssl genrsa -out <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-key.pem 4096
</code>

==== Certificate Signing Request erzeugen ====
<code>
 openssl req -new -key <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-key.pem -out <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-csr.pem
</code>

^ Variable                  ^ Inhalt              ^ Beispiel                 ^
^ Country Name              | Land                | DE                       |
^ State or Province Name    | Bundesland          | Niedersachen             |
^ Locality Name             | Stadt               | Wilhelmshaven            |
^ Organization Name         | CA-Anbieter         | Linux-WHV                |
^ Organizational Unit Name  | Abteilung           | IT                       |
^ Common Name               | Hostname (FQDN)     | linux-whv-sv1.fritz.box  |
^ Email-Address             | E-Mail              | <keine angeben>          |
^ A challenge password      | Challenge Passwort  | <keins angeben>          |
^ An optional company name  | Firmenname          | <keinen angeben>         |

==== Zertifikat erzeugen ====
<code>
# Zertifikat mit dem Common Name (CN) auch als Subject Alternative Name (SAN) erzeugen
openssl x509 -req -days 3650 -in <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-csr.pem -CA <CA-Anbieter>-CA-<CA-Datum>-crt.pem -CAkey <CA-Anbieter>-CA-<CA-Datum>-key.pem -out <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-crt.pem
#
# Zertifikat kontrollieren
openssl x509 -in <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-crt.pem -text -noout
#
# Fingerprint anzeigen
openssl x509 -fingerprint -in <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-crt.pem -noout
</code>

===== Zertifikat installieren =====
==== FRITZ!Box ====
Für die FRITZ!Box muss das Zertifikat und der Key in eine Datei kopiert werden:
<code>
cat <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-crt.pem <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-key.pem > <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-crt+key.pem
</code>

Zertifikat in die Fritzbox importieren
  * Internet / Freigaben / FRITZ!Box-Dienste / Zertifikat / Benutzereigenes Zertifikat
    * Die Datei <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-crt+key.pem importieren

==== Linux ====
Die 2 selbstsignierten Zertifikatsdateien

  <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-crt.pem
  <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-key.pem

nach /etc/ssl/certs kopieren und anpassen:

<code>
chown root:root /etc/ssl/certs/<CA-Anbieter>-CA-*
chmod 644 /etc/ssl/certs/<CA-Anbieter>-CA-<hostname>.<yourdomain>*crt.pem
chmod 600 /etc/ssl/certs/<CA-Anbieter>-CA-<hostname>.<yourdomain>*key.pem
</code>