|
|
| Zeile 6: |
Zeile 6: |
| | <li> | | <li> |
| | <h4>Erzeugen einer CA</h4> | | <h4>Erzeugen einer CA</h4> |
| | + | Verzeichnis für private Schlüssel und Zertifikate erstellen:<br> |
| | + | <code> |
| | + | $ mkdir Schluessel<br> |
| | + | $ mkdir Zertifikate<br> |
| | + | </code> |
| | Zertifikatsnummerierungszähler erstellen und Wert 01 reinschreiben:<br> | | Zertifikatsnummerierungszähler erstellen und Wert 01 reinschreiben:<br> |
| − | <code>$ echo "01" > vpn-ca.srl</code><br> | + | <code>$ echo "01" > Zertifikate/vpn-ca.srl</code><br> |
| − | Verzeichnis für private Schlüssel erstellen:<br>
| + | |
| − | <code>$ mkdir private</code><br>
| + | |
| | 4096bit langer, privater RSA-Schlüssel (PKCS#1 im PEM-Format) [oder Schlüsselpaar???] erstellen, welcher mit AES (256bit) geschützt ist:<br> | | 4096bit langer, privater RSA-Schlüssel (PKCS#1 im PEM-Format) [oder Schlüsselpaar???] erstellen, welcher mit AES (256bit) geschützt ist:<br> |
| − | <code>$ openssl genrsa -aes256 -out private/vpn-cakey.pem 4096</code><br> | + | <code>$ openssl genrsa -aes256 -out Schluessel/vpn-cakey.pem 4096</code><br> |
| − | 10a gültiges (<code>-days 3650</code>), selbstsigniertes X509-Zertifkat (nur für Test oder root CA)(<code>-x509</code>) aus privatem Schlüssel erstellen (<code>-key private/vpn-cakey.pem</code>) und nach vpn-ca.pem schreiben (<code>-out vpn-ca.pem</code>). Zertifikates Seriennummer auf 1 setzen (<code>set_serial 1</code>) (default 0):<br> | + | 10a gültiges (<code>-days 3650</code>), selbstsigniertes X509-Zertifkat (nur für Test oder root CA)(<code>-x509</code>) aus privatem Schlüssel erstellen (<code>-key Schluessel/vpn-cakey.pem</code>) und nach vpn-ca.pem schreiben (<code>-out Zertifikate/vpn-ca.pem</code>). Zertifikates Seriennummer auf 1 setzen (<code>set_serial 1</code>) (default 0):<br> |
| − | <code>$ openssl req -new -x509 -days 3650 -key private/vpn-cakey.pem -out vpn-ca.pem -set_serial 1</code> | + | <code>$ openssl req -new -x509 -days 3650 -key Schluessel/vpn-cakey.pem -out Zertifikate/vpn-ca.pem -set_serial 1</code> |
| | <p> | | <p> |
| | <i>'''Alternativ'''</i>, die beiden letzten Befehle in einem: Allerdings kann hier nicht AES256 als Verschlüsselung des privaten Schlüssels (jedenfalls ist mir kein entsprechender Parameter bekannt) - stattdessen wird standardmäßig DES3 gewählt:<br> | | <i>'''Alternativ'''</i>, die beiden letzten Befehle in einem: Allerdings kann hier nicht AES256 als Verschlüsselung des privaten Schlüssels (jedenfalls ist mir kein entsprechender Parameter bekannt) - stattdessen wird standardmäßig DES3 gewählt:<br> |
| − | <code>$ openssl req -x509 -days 3650 -newkey rsa:4096 -keyout private/vpn-cakey.pem -out vpn-ca.pem -set_serial 1</code> | + | <code>$ openssl req -x509 -days 3650 -newkey rsa:4096 -keyout Schluessel/vpn-cakey.pem -out Zertifikate/vpn-ca.pem -set_serial 1</code> |
| | </p> | | </p> |
| | </li> | | </li> |
| | <li> | | <li> |
| | <h4>Erzeugen des server-Schlüssels</h4> | | <h4>Erzeugen des server-Schlüssels</h4> |
| − | 4096bit RSA-Serverschlüssel ohne Kennwort (<code>-nodes</code>) erstellen (<code>-newkey rsa:4096 -keyout private/serverkey.pem</code>) & Anfrage für ein 10a gültiges Zertifikat für diesen Schlüssel erstellen (<code>req -out certs/servercsr.pem -days 3650</code>):<br> | + | 4096bit RSA-Serverschlüssel ohne Kennwort (<code>-nodes</code>) erstellen (<code>-newkey rsa:4096 -keyout Schluessel/serverkey.pem</code>) & Anfrage für ein 10a gültiges Zertifikat für diesen Schlüssel erstellen (<code>req -out Zertifikate/servercsr.pem -days 3650</code>):<br> |
| − | <code>$ openssl req -out certs/servercsr.pem -days 3650 -newkey rsa:4096 -keyout private/serverkey.pem -nodes</code> | + | <code>$ openssl req -out Zertifikate/servercsr.pem -days 3650 -newkey rsa:4096 -keyout Schluessel/serverkey.pem -nodes</code> |
| | <p> | | <p> |
| | 10 gültiges X.509 Serverzertifikat aus Zertifikatsanfrage erstellen (<code>x509 -req -in certs/servercsr.pem -out certs/servercert.pem -days 3650</code>), von der root CA signieren (<code>-CA vpn-ca.pem -CAkey private/vpn-cakey.pem</code>). Dabei wird ''vpn-ca.srl'' automatisch hoch gezählt:<br> | | 10 gültiges X.509 Serverzertifikat aus Zertifikatsanfrage erstellen (<code>x509 -req -in certs/servercsr.pem -out certs/servercert.pem -days 3650</code>), von der root CA signieren (<code>-CA vpn-ca.pem -CAkey private/vpn-cakey.pem</code>). Dabei wird ''vpn-ca.srl'' automatisch hoch gezählt:<br> |
| − | <code>$ openssl x509 -req -in certs/servercsr.pem -out certs/servercert.pem -days 3650 -CA vpn-ca.pem -CAkey private/vpn-cakey.pem</code> | + | <code>$ openssl x509 -req -in Zertifikate/servercsr.pem -out Zertifikate/servercert.pem -days 3650 -CA Zertifikate/vpn-ca.pem -CAkey Schluessel/vpn-cakey.pem</code> |
| | </p> | | </p> |
| | Zertifikatsanfrage kann gelöscht werden:<br> | | Zertifikatsanfrage kann gelöscht werden:<br> |
| Zeile 33: |
Zeile 36: |
| | <h4>Erzeugen eines Klienten-Schlüssels</h4> | | <h4>Erzeugen eines Klienten-Schlüssels</h4> |
| | Klienten-Schlüssel erstellen & Zertifikatsanfrage für Klienten-Schlüssel:<br> | | Klienten-Schlüssel erstellen & Zertifikatsanfrage für Klienten-Schlüssel:<br> |
| − | <code>$ openssl req -out certs/klient1csr.pem -days 3650 -newkey rsa:4096 -keyout private/klient1key.pem -nodes</code> | + | <code>$ openssl req -out Zertifikate/klient1csr.pem -days 3650 -newkey rsa:4096 -keyout Schluessel/klient1key.pem -nodes</code> |
| | <p> | | <p> |
| | Clientzertifikat aus Zertifikatsanfrage erstellen:<br> | | Clientzertifikat aus Zertifikatsanfrage erstellen:<br> |
| − | <code>$ openssl x509 -req -in certs/klient1csr.pem -out certs/klientcert.pem -days 3650 -CA vpn-ca.pem -CAkey private/vpn-cakey.pem</code> | + | <code>$ openssl x509 -req -in Zertifikate/klient1csr.pem -out Zertifikate/klient1cert.pem -days 3650 -CA Zertifikate/vpn-ca.pem -CAkey Schluessel/vpn-cakey.pem</code> |
| | </p> | | </p> |
| | Zertifikatsanfrage kann gelöscht werden:<br> | | Zertifikatsanfrage kann gelöscht werden:<br> |