OpenSSL

Bezugsquellen für OpenSSL

Erzeugen eines Server-Zertifikat-Requests

Die notwendigen Angaben werden alle als Kommandozeilen-Parameter übergeben. Wichtig ist hierbei die Angabe des "CommonName" über den Parameter "CN=..."

openssl req -newkey rsa:4096 -out SERVERNAME-req.pem -keyout SERVERNAME-pkey.pem -subj "/C=DE/ST=Sachsen/L=Leipzig/O=Universitaet Leipzig/OU=URZ/CN=SERVERNAME.uni-leipzig.de"

OpenSSL-Ausgabe:

Generating a 4096 bit RSA private key
.......................+++
...............................+++
writing new private key to 'SERVERNAME-pkey.pem' 
-----
Enter PEM pass phrase: *******
Verifying - Enter PEM pass phrase:  *******

Interaktives Erzeugen eines Server-Zertifikat-Requests 

Die notwendigen Angaben werden ion einem interaktiven Dialog abgefragt.

openssl req -newkey rsa:4096 -out SERVERNAME-req.pem -keyout SERVERNAME-pkey.pem


 OpenSSL-Dialog:

Generating a 4096 bit RSA private key
.......................+++
...............................+++
writing new private key to 'SERVERNAME-pkey.pem' 
-----
Enter PEM pass phrase: *******
Verifying - Enter PEM pass phrase:  *******
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Sachsen
Locality Name (eg, city) []:Leipzig
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Universitaet Leipzig
Organizational Unit Name (eg, section) []:URZ
Common Name (eg, YOUR name) []:server33.rz.uni-leipzig.de
Email Address []:.
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:.
An optional company name []:.

Nach Ausführung der oben genannten Beispiele enthält die Datei SERVERNAME-req.pem den Zertifikatsrequest im PKCS#10-Format und die DAtei SERVERNAME-pkey.pem den privaten Schlüssel, welcher mit der "pass phrase" geschützt ist. Die pass phrase können Sie natürlich frei wählen.

nach oben

Nützliche OpenSSL-Kommandos

 

openssl x509 -fingerprint -noout -sha1 -in SERVER-cert.pem   Request als Text anzeigen

openssl req -text -noout -in SERVERNAME-req.pem

Zertifikat als Text anzeigen

openssl x509 -text -noout -in SERVERNAME-cert.pem 

(Das Zertifikaterhalten Sie als Email-Anhang nach erfolgter Zertifizierung)

Pass Phrase aus privatem Schlüssel entfernen

Um nicht jedesmal beim Start des Webservers das Passwort frü den privaten Schlüssel eingeben zu müssen, kann die pass phrase entfernt werden:

openssl rsa -in SERVERNAME-pkey.pem -out SERVERNAME.pem

Fingerprint eines Server-Zertifikats anzeigen

openssl x509 -fingerprint -noout -md5 -in SERVER-cert.pem

MD5 Fingerprint=01:E3:33:64:B9:57:E5:53:3F:68:20:3F:7D:69:1A:42 

openssl x509 -fingerprint -noout -sha1 -in SERVER-cert.pem

SHA1 Fingerprint=D4:6D:8C:A9:48:66:FC:FE:B0:71:94:E0:02:4B:1D:F8:E1:91:51:2B

Es ist auch möglich, sich den Fingerprint "fremder" Webserver anzeigen zu lassen:

openssl s_client -showcerts -connect www.uni-leipzig.de:443 | openssl x509 -fingerprint -sha1 -noout

depth=3 /C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
verify error:num=19:self signed certificate in certificate chain
verify return:0
SHA1 Fingerprint=D4:6D:8C:A9:48:66:FC:FE:B0:71:94:E0:02:4B:1D:F8:E1:91:51:2B

nach oben

letzte Änderung: 07.04.2015

Hilfe

Servicedesk

Neues Augusteum
2. Etage, Raum A252

Telefon: +49 341 97-33333
E-Mail

Suche

Nur in "Anleitungen A-Z" suchen

Verwandte Seiten