Zertifikat generieren

1. generiere einen privaten Schlüssel mit RSA (DES3 gecryptet und PEM formattiert):

   $ openssl genrsa -des3 -out server.key 1024

   Die Datei server.key gut aufheben und das Geheimis (pass-phrase) gut merken. Man kann Details des RSA-privaten Schlüssels mit folgendem Kommando ansehen:

   $ openssl rsa -noout -text -in server.key

   Man könnte eine dechiffrierte PEM Version diese privaten schlüssels machen (nicht empfohlen!):

   $ openssl rsa -in server.key -out server.key.unsecure

2. Man erzeugt ein Certificate Signing Request (CSR) zum privaten RSA-Schlüssels mit

   $ openssl req -new -days 365 -key server.key -out server.csr

   (Die Ausgabe ist PEM-formatiert) Details des CSR können wie folgt gesehen werden:

   $ openssl req -noout -text -in server.csr

3. Nun muß dieses Certificate Signing Request (CSR) zu einer Certifying Authority (CA) zum signieren gesant werden. Daraus entsteht ein richtiges Zertifikat für den Einsatz im Internet. Man kann entweder selber ein CA machen oder sich an kommerzielle Anbieter wenden.

   Komerzielle Anbieter sind beispielsweise:

   • Verisign
     http://digitalid.verisign.com/server/apacheNotice.htm
   • Thawte Consulting
     http://www.thawte.com/certs/server/request.html
   • CertiSign Certificadora Digital Ltda.
     http://www.certisign.com.br
   • IKS GmbH Jena
   • Uptime Commerce Ltd.
     http://www.uptimecommerce.com
   • BelSign NV/SA
     http://www.belsign.be

   Details des empfangenen Zertifikats können durch folgendes Kommando gelesen werden:

   $ openssl x509 -noout -text -in server.crt

4. Nun hat man die beiden Dateien server.key und server.crt.

$ openssl req -new -newkey rsa:1024 -nodes -keyout cakey.pem -out careq.pem

direkt ein Certificate Request erzeugen.