Skip to content

Self-signed SSL certificate

Gar nicht so kompliziert, wenn man weiß wie! Und damit ich das nie wieder vergesse, gibt es diesen Blogeintrag! ;-)

Erstellung eines CA Certs
openssl genrsa -out ca.key 1024
openssl req -new -x509 -days 1095 -key ca.key -out ca.crt

Wichtig dabei ist, das der Common Name zwischen Server und CA unterschiedlich ist!

Erstellung eines Server Certs
openssl genrsa -out server.key 1024
openssl req -new -key server.key -out server.csr

welches anschließend mit dem selbst erstellten CA Cert signiert wird
openssl x509 -req -days 1095 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt

Apache Mod SSL - Zertifikat und Key vergleichen

Zertifikate sind schon eine nette Sache! Vor allem, wenn sie funktionieren! Aber wehe, wenn es Probleme gibt! Ich hatte in den letzten Tagen ein ziemliches hin und her mit Thawte inkl. eines Chat mit einem Südafrikanischen Techniker. Dabei hat sich herausgestellt das der Modulus von Key und dem ausgestellte Zertifikat nicht übereingestimmt haben. Wie kriegt man so etwas denn raus? Ganz einfach:

openssl x509 -noout -text -in <Cert-File> -modulus

openssl rsa -noout -text -in <Key-File> -modulus

Wie die Zeit vergeht...

Schon wieder 2 Jahre rum und ich habe es fast nicht mitbekommen. Doch zum Glück läuft mein selbstgebautes SSL Zertifikat "nur" 2 Jahre! :-P Und da ich jedes Mal nachschauen muss, wie es geht, hier mal ein kurzer Abriss:

openssl req -new > new.cert.csr

Nach einem Passwort für den Privaten Key, werden für das neue CSR File noch ein paar Angaben benötigt:
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Bundesland
Locality Name (eg, city) []:Ort
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Meine Firma GmbH
Organizational Unit Name (eg, section) []:Technik
Common Name (eg, YOUR name) []:www.domain.de
Email Address []:meine@email.de

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Anschließend einen Signatur-Request erstellen und diesen
openssl rsa -in privkey.pem -out new.cert.key

dann selbst signieren.
openssl x509 -in new.cert.csr -out new.cert.cert -req -signkey new.cert.key -days 730