devices:env:certs-ss
Inhaltsverzeichnis
Zertifikate - Selbstsigniert
Selbst-signierte Zertifikate werden von einer Certificate Authority ausgestellt und im Wesentlichen für interne Zertifikate benutzt.
Zertifikat erstellen
Zur Zertifikatserstellung müssen zunächst folgende Variablen festgelegt werden:
| Variable | Beschreibung | Beispiel |
|---|---|---|
| CA-Anbieter | Siehe Certificate Authority | Linux-WHV |
| Datum | Erzeugungsdatum des Zertifikates im ISO 8601 Format | 2026-01-01 |
| hostname | Hostname des Gerätes | sv1 |
| yourdomain | Lokale Domain (am Beispiel einer Fritz!Box) | fritz.box |
Key erzeugen
Auf dem Gerät mit der Certificate Authority in den Ordner <CA-Anbieter>-CA wechseln
openssl genrsa -out <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-key.pem 4096
Certificate Signing Request erzeugen
openssl req -new -key <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-key.pem -out <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-csr.pem
| Variable | Inhalt | Beispiel |
|---|---|---|
| Country Name | Land | DE |
| State or Province Name | Bundesland | Niedersachen |
| Locality Name | Stadt | Wilhelmshaven |
| Organization Name | CA-Anbieter | Linux-WHV |
| Organizational Unit Name | Abteilung | IT |
| Common Name | Hostname (FQDN) | linux-whv-sv1.fritz.box |
| Email-Address | <keine angeben> | |
| A challenge password | Challenge Passwort | <keins angeben> |
| An optional company name | Firmenname | <keinen angeben> |
Zertifikat erzeugen
# Zertifikat mit dem Common Name (CN) auch als Subject Alternative Name (SAN) erzeugen openssl x509 -req -days 3650 -in <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-csr.pem -CA <CA-Anbieter>-CA-<CA-Datum>-crt.pem -CAkey <CA-Anbieter>-CA-<CA-Datum>-key.pem -out <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-crt.pem # # Zertifikat kontrollieren openssl x509 -in <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-crt.pem -text -noout # # Fingerprint anzeigen openssl x509 -fingerprint -in <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-crt.pem -noout
Zertifikat installieren
FRITZ!Box
Für die FRITZ!Box muss das Zertifikat und der Key in eine Datei kopiert werden:
cat <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-crt.pem <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-key.pem > <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-crt+key.pem
Zertifikat in die Fritzbox importieren
- Internet / Freigaben / FRITZ!Box-Dienste / Zertifikat / Benutzereigenes Zertifikat
- Die Datei <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-crt+key.pem importieren
Linux
Die 2 selbstsignierten Zertifikatsdateien
<CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-crt.pem <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-key.pem
nach /etc/ssl/certs kopieren und anpassen:
chown root:root /etc/ssl/certs/<CA-Anbieter>-CA-* chmod 644 /etc/ssl/certs/<CA-Anbieter>-CA-<hostname>.<yourdomain>*crt.pem chmod 600 /etc/ssl/certs/<CA-Anbieter>-CA-<hostname>.<yourdomain>*key.pem
devices/env/certs-ss.txt · Zuletzt geändert: von hse