OpenSSL - Erstellen von selbstbeglaubigten Zertifikaten

Rakor

Rakor

Administrator
Teammitglied
Hallo zusammen!

Ich bin etwas verwirrt beim Umgang mit OpenSSL. Ich will mir einen Mailserver aufsetzen und dieser soll dann am Ende über eine verschlüsselte Verbindung zur Verfügung stehen. Also komme ich kaum um ssl rum.

In meiner Anleitung die ich hier habe wird OpenSSL aus den Ports gebaut und diese Version verwendet. Dieses beinhaltet scheinbar ein Script namens CA.pl über welches die Zertifikate erstellt werden können.

Da ich aber gerne das OpenSSL aus dem Base nutzen will und auch gerne weiss was ich da tue habe ich nun ein Problem...

Da es ein Privatserver ist möchte ich das Zertifikat nicht von offizieller Stelle absegnen lassen (zu teuer) und benötige daher ein selbstbeglaubigtes Zertifikat.

Nach http://www.freebsd.org/doc/de/books/handbook/openssl.html habe ich nun folgendes gemacht:

# openssl dsaparam -rand -genkey -out myRSA.key 1024

# openssl gendsa -des3 -out myca.key myRSA.key

# openssl req -new -x509 -days 365 -key myca.key -out new.crt
Zum Vergrößern anklicken....

Nun habe ich 2 Schlüssel und ein Zertifikat.... Nun gut... Aber ich weiss nicht weiter :( Was sind da nun für Schlüssel?!

Nach meiner Anleitung brauche ich für den MTA später dann ein CA-Root-Zertifikat, ein Server Zertifikat und einen Server-Private-Key....

Abgesehen davon, dass das Zeug nicht .pem heisst (ich vermute das ich das einfach umbenennen könnte) weiss ich nun nicht was da jetzt was ist und wie ich weiter mache...


Leider finde ich das OpenSSL unheimlich verwirrend mit den ganzen Schlüsseln und Zertifikaten etc... Und ich fand keine sinnvolle Doku die mir das entschlüsseln könnte...

Dank euch!
 
Jaja.... manchmal ist man blind und manchmal nur blöd....

Ich habe neulich die Systemsourcen installiert.... Zumindest habe ich eben festgestellt, dass ich das CA.pl doch habe. Und zwar liegt dieses in der Base-Distribution unter /usr/src/crypto/openssl/apps. Hierzu müssen jedoch die Sourcen installiert sein (wieso ist das eigentlich nicht in der Binary-Distribution enthalten?).

Nun gut... aber die grundsätzliche Frage nach der Funktionsweise des gesamten SSL bleibt bestehen... Wenn auch auf weiter auf einer Meta-Ebene
 
Du solltest dir folgenden Wikipediaartikel durchlesen:
http://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem

Meistens erstelle ich mir Zertifikate mit:

Code: 
(1) # openssl genrsa -out /etc/ssl/private/mail.key 4096
(2) # openssl req -new -key /etc/ssl/private/mail.key -out /etc/ssl/private/mail.csr
(3) # openssl x509 -req -days 365 -in /etc/ssl/private/mail.csr \
-signkey /etc/ssl/private/mail.key -out /etc/ssl/mail.crt

(1) erstellt ein Schluesselpaar (also private und public key)
(2) erstellt ein certificate signing request, also etwas, was du normalerweise einer CA vorlegst
(3) erstellt ein von dir selbst signiertes Zertifikat

Ich nutze uebrigens inzwischen StartSSL:
http://www.heise.de/security/artikel/SSL-fuer-lau-880221.html

Ist kostenlos und wird von den meisten Browsern und Mailclients geschluckt.
Wenn man als Subdomain "mail" angibt, kann man damit zeitgleich Webseite und Mailsystem absichern, da als alt name "domain.com" angegeben wird (Voraussetzung: die Webseite wird ueber domain.com und nicht www.domain.com betrieben).

Man kann aber auch problemlos mehrere Zertifikate beantragen!

Manche Software unterstuetzt leider keine chained certificates, weshalb man sich ein entsprechendes Zertifikat dann selber bauen muss, wie das geht, steht hier:

http://binblog.info/2010/02/02/lengthy-chains/
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben