Für den Einsatz selbst-signierter Zertifikate (im Gegensatz zu Let's encrypt Zertifikaten) muss einmalig eine Certificate Authority (CA) erzeugt werden. Mit dieser können dann selbst-signierte Zertifikate ausgestellt werden.
Eine eigene Certificate Authority muss nur einmalig (!) erzeugt werden, dazu müssen zunächst folgende Variablen festgelegt werden:
| Variable | Beschreibung | Beispiel |
|---|---|---|
| CA-Anbieter | Hier kann der Firmenkurzname / die URL herangezogen werden | Linux-WHV |
| Datum | Erzeugungsdatum der CA im ISO 8601 Format | 2026-01-01 |
Ordner <CA-Anbieter>-CA anlegen und in den Ordner wechseln:
# cd # mkdir <CA-Anbieter>-CA # cd <CA-Anbieter>-CA cd mkdir Linux-WHV-CA cd Linux-WHV-CA
CA-Key erzeugen
# openssl genrsa -aes256 -out <CA-Anbieter>-CA-<Datum>-key.pem 4096 openssl genrsa -aes256 -out Linux-WHV-CA-2026-01-19-key.pem 4096
CA-Zertifikat erzeugen
# openssl req -key <CA-Anbieter>-CA-<Datum>-key.pem -new -x509 -days 7300 -sha256 -extensions v3_ca -out <CA-Anbieter>-CA-<Datum>-crt.pem openssl req -key Linux-WHV-CA-2026-02-19-key.pem -new -x509 -days 7300 -sha256 -extensions v3_ca -out Linux-WHV-CA-2026-01-19-crt.pem
| Variable | Inhalt | Beispiel |
|---|---|---|
| Country Name | Land | DE |
| State or Province Name | Bundesland | Niedersachen |
| Locality Name | Stadt | Wilhelmshaven |
| Organization Name | CA-Anbieter | Linux-WHV |
| Organizational Unit Name | Abteilung | IT |
| Common Name | CA-Name | Linux-WHV Certificate Authority |
| Email-Address | CA-E-Mail | <keine angeben> |
Kontrolle:
# openssl x509 -noout -text -in <CA-Anbieter>-CA-<Datum>-crt.pem openssl x509 -noout -text -in Linux-WHV-CA-2026-01-19-crt.pem
Hinweis:
Im Anschluss muss das Zertifikat der Certificate Authority (CA) in die Zielsysteme / Zielsoftware installiert werden. Dabei ist zu beachten, das einige Webbrowser den im Betriebssystem integrierten Zertifikatsspeicher nutzen und wieder andere, die ihren eigenen Zertifikatsspeicher mitbringen.
Das Einfügen einer CA in den Zertifikatsspeicher in Apple iOS geschieht mit Hilfe des iPhone Configuration Tools. Eine Anleitung (ohne Gewähr) findet Ihr hier.
Der in Apple macOS integrierte Zertifikatsspeicher wird vom Webbrowser Apple Safari verwendet.
sudo -i apt install ca-certificates mkdir -p /usr/share/ca-certificates/<CA-Anbieter>
chown root:root /usr/share/ca-certificates/<CA-Anbieter>/<CA-Anbieter>* chmod 644 /usr/share/ca-certificates/<CA-Anbieter>/<CA-Anbieter>* nano /etc/ca-certificates.conf
update-ca-certificates
Das Ergebnis ist dann unter /etc/ssl/certs zu sehen, alle CAs sind dann in /etc/ssl/certs/ca-certificates.crt zusammengefasst
https://www.devdungeon.com/content/how-add-trusted-ca-certificate-centosfedora
sudo -i cp <CA-Anbieter>-CA-<Datum>-crt.pem /etc/pki/ca-trust/source/anchors/ # Auf **keinen (!)** Fall den CA-Key <CA-Anbieter>-CA-<Datum>-key.pem hier hinkopieren. update-ca-trust
Der in Microsoft Windows integrierte Zertifikatsspeicher wird von den Webbrowsern Microsoft Edge & Internet Explorer verwendet.
Dieses Produkt verwendet seinen eigenen, integrierten Zertifikatsspeicher.