SSL: Unterschied zwischen den Versionen

Aus darkrealm Wiki
Zur Navigation springen Zur Suche springen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 69: Zeile 69:
* SHT
* SHT
}}
}}
dir = ./demoCA # TSA root directory
serial = $dir/tsaserial # The current serial number (mandatory)
crypto_device = builtin # OpenSSL engine to use for signing
signer_cert = $dir/tsacert.pem # The TSA signing certificate
# (optional)
certs = $dir/cacert.pem # Certificate chain to include in reply
# (optional)
signer_key = $dir/private/tsakey.pem # The TSA private key (optional)
default_policy = tsa_policy1 # Policy if request did not specify it
# (optional)
other_policies = tsa_policy2, tsa_policy3 # acceptable policies (optional)
digests = md5, sha1 # Acceptable message digests (mandatory)
accuracy = secs:1, millisecs:500, microsecs:100 # (optional)
clock_precision_digits  = 0 # number of digits after dot. (optional)
ordering = yes # Is ordering defined for timestamps?
# (optional, default: no)
tsa_name = yes # Must the TSA name be included in the reply?
# (optional, default: no)
ess_cert_id_chain = no # Must the ESS cert id chain be included?
# (optional, default: no)

Version vom 18. Oktober 2012, 17:42 Uhr

Eigene CA erstellen

Verzeichnisse erstellen: 

mkdir -p /etc/ssl/darkrealm/CA/private
mkdir -p /etc/ssl/darkrealm/CA/newcerts
touch /etc/ssl/darkrealm/CA/index.txt
echo 0000 > /etc/ssl/darkrealm/CA/serial

im /etc/ssl/darkrealm verzeichnis ausführen:

<pre"> openssl req -config darkrealm.cnf -new -x509 -days 3650 -keyout CA/private/ca.key -out CA/ca.crt

  • req :
  • -config : die angegebene Konfigurationsdatei benutzen
  • -new : Neue Zertifikatsanfrage
  • -x509: Gebe ein selbstsigniertes Zertifikat anstatt einer Zertifikatsanfrage aus
  • -days 3650 : Gültigkeitsdauer
  • -keyout : Privaten Schlüssel in diese Datei ausgeben
  • -out : Zertifikat in Datei ausgeben

Webserver Certificate Request erstellen

im /etc/ssl/darkrealm Verzeichnis ausführen: 

openssl req -config darkrealm.cnf -new -nodes -keyout apache.key -out apache.csr
  • req:
  • -config: Die angegebene Konfigurationsdatei benutzen
  • -new : Neue Zertifikatsanfrage
  • -nodes : Nicht mit Passphrase verschlüsseln
  • -keyout : Privaten Schlüssel in diese Datei ausgeben
  • -out : Zertifikatsanfrage in diese Datei ausgeben

Webserver Certificate Request signieren

im /etc/ssl/darkrealm Verzeichnis ausführen: 

openssl ca -config darkrealm.cnf -out apache.crt -in apache.csr

Danach das Zertifikat und den privaten Schlüssel nach /etc/ssl/apache2 kopieren.

Abschließend muss noch das CA-Zertifikat (ca.crt) in den jeweiligen Browser importiert werden.


LDAP Server Certificate Request erstellen

im /etc/ssl/darkrealm Verzeichnis ausführen: 

openssl req -config darkrealm.cnf -new -nodes -keyout ldap.key -out ldap.csr

LDAP Server Certificate Request signieren

openssl ca -config darkrealm.cnf -out ldap.crt -in ldap.csr

openssl.cnf

dir = ./demoCA # TSA root directory serial = $dir/tsaserial # The current serial number (mandatory) crypto_device = builtin # OpenSSL engine to use for signing signer_cert = $dir/tsacert.pem # The TSA signing certificate # (optional) certs = $dir/cacert.pem # Certificate chain to include in reply # (optional) signer_key = $dir/private/tsakey.pem # The TSA private key (optional)

default_policy = tsa_policy1 # Policy if request did not specify it # (optional) other_policies = tsa_policy2, tsa_policy3 # acceptable policies (optional) digests = md5, sha1 # Acceptable message digests (mandatory) accuracy = secs:1, millisecs:500, microsecs:100 # (optional) clock_precision_digits = 0 # number of digits after dot. (optional) ordering = yes # Is ordering defined for timestamps? # (optional, default: no) tsa_name = yes # Must the TSA name be included in the reply? # (optional, default: no) ess_cert_id_chain = no # Must the ESS cert id chain be included? # (optional, default: no)

Abgerufen von „https://darkrealm-wiki.darkrealm.dyndns.org/index.php?title=SSL&oldid=51