HowTo generate a csr/key/crt with openssl…

Autor: darkhawk
Datum: 9. Januar 2015
Schlagwörter: openssl, Security, SSL
Kategorien: News, Security

In der heutigen Zeit ist es wichtig ein aktuelles sicheres (zum Zeitpunkt der Erstellung…) Zertifikat zu benutzen. Wie dies idealerweise erstellt wird, habe ich hier mal dokumentiert.

Das Flag -sha256 sorgt bei der Key Erstellung für den entsprechenden (starken)Crypto Algorithmus. Es empfiehlt sich auf keinen Fall mehr ein sha1 Algorithmus zu verwenden, da dieser als unsicher gilt.

Die Keylänge von 4096 kann kontrovers diskutiert werden. 4096 Bit führen auf langsameren Devices (ggf. alte Mobiltelefone) zu etwas längeren initialen Ladezeiten. Aber Sicherheit geht vor!

1.) Zuerst prüfen wir die openssl Version auf dem System (in diesem Fall ein aktuelles Debian Wheezy 64bit):
# openssl version
OpenSSL 1.0.1e 11 Feb 2013

dpkg -l | grep openssl
ii openssl 1.0.1e-2+deb7u13

Siehe auch -> https://security-tracker.debian.org/tracker/CVE-2014-0160

2.) Anschließend erstellen wir den privaten Key (dieser wird niemals aus der Hand gegeben):
# openssl genrsa -out www.domain.tld.key 4096 -sha256
Generating RSA private key, 4096 bit long modulus
..............++
.......................++
e is 65537 (0x10001)

3.) Jetzt wird das CSR (http://de.wikipedia.org/wiki/Certificate_Signing_Request) erstellt:
# openssl req -utf8 -new -key www.domain.tld.key -out www.domain.tld.csr -sha256
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Nordrhein-Westfalen
Locality Name (eg, city) []:Witten
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Fnord AG
Organizational Unit Name (eg, section) []:IT
Common Name (e.g. server FQDN or YOUR name) []:www.domain.tld
Email Address []:mail@domain.tld

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

4.) Das csr wird bei der entsprechenden Zertifizierungsstelle eingereicht, worauf man kurze Zeit später das signierte öffentliche Zertifikat zurück bekommt. Es gilt das private Zertifikat aus 1.) niemals in fremde Hände zu geben.

«
»

    Schreibe einen Kommentar

    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.