Ein Selbst erschaffen

Dieser Artikel beschreibt, wie Sie mit dem openssl-Tool ein selbstsigniertes SSL-Zertifikat erstellen.

Was ist ein selbstsigniertes SSL-Zertifikat?

Ein selbstsigniertes SSL-Zertifikat ist ein Zertifikat, das von der Person signiert wurde, die es erstellt hat, und keine vertrauenswürdige Zertifizierungsstelle. Selbstsignierte Zertifikate können dieselbe Verschlüsselungsstufe aufweisen wie das vertrauenswürdige, von einer Zertifizierungsstelle signierte SSL-Zertifikat.

Selbstsignierte Zertifikate, die von jedem Browser als gültig anerkannt werden. Wenn Sie ein selbstsigniertes Zertifikat verwenden, zeigt der Webbrowser dem Besucher eine Warnung an, dass das Website-Zertifikat nicht verifiziert werden kann.

Die selbstsignierten Zertifikate werden hauptsächlich zu Testzwecken oder zur internen Verwendung verwendet. In Produktionssystemen, die mit dem Internet verbunden sind, sollten Sie kein selbstsigniertes Zertifikat verwenden.

Voraussetzungen

Das openssl-Toolkit ist erforderlich, um ein selbstsigniertes Zertifikat zu generieren.

Um zu überprüfen, ob das openssl-Paket auf Ihrem Linux-System installiert ist, öffnen Sie Ihr Terminal, geben Sie openssl version und drücken Sie die Eingabetaste. Wenn das Paket installiert ist, druckt das System die OpenSSL-Version, andernfalls wird der openssl command not found .

Wenn das openssl-Paket nicht auf Ihrem System installiert ist, können Sie es installieren, indem Sie den folgenden Befehl ausführen:

• Ubuntu und Debian

  sudo apt install openssl

  Centos und Fedora

  sudo yum install openssl

Selbstsigniertes SSL-Zertifikat erstellen

Verwenden Sie den Befehl openssl req um ein neues selbstsigniertes SSL-Zertifikat zu erstellen:

openssl req -newkey rsa:4096 \ -x509 \ -sha256 \ -days 3650 \ -nodes \ -out example.crt \ -keyout example.key

Lassen Sie uns den Befehl aufschlüsseln und verstehen, was jede Option bedeutet:

• -newkey rsa:4096 - Erstellt eine neue Zertifikatsanforderung und einen 4096-Bit-RSA-Schlüssel. Die Standardeinstellung ist 2048 Bit. -x509 - Erstellt ein X.509-Zertifikat. -sha256 - Verwenden Sie 265-Bit-SHA (Secure Hash-Algorithmus). -days 3650 - Die Anzahl der Tage, für die das Zertifikat zertifiziert werden soll. 3650 ist 10 Jahre. Sie können eine beliebige positive Ganzzahl verwenden. -nodes - Erstellt einen Schlüssel ohne Passphrase. -out example.crt - Gibt den Dateinamen an, in den das neu erstellte Zertifikat geschrieben werden soll. Sie können einen beliebigen Dateinamen angeben. -keyout example.key - Gibt den Dateinamen an, in den der neu erstellte private Schlüssel geschrieben werden soll. Sie können einen beliebigen Dateinamen angeben.

Weitere Informationen zu den openssl req Sie auf der OpenSSL req-Dokumentationsseite.

Sobald Sie die Eingabetaste drücken, generiert der Befehl den privaten Schlüssel und stellt Ihnen eine Reihe von Fragen, die zum Generieren des Zertifikats verwendet werden.

Generating a RSA private key…………………………………………………………….++++……..++++ writing new private key to 'example.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. -----

Geben Sie die gewünschten Informationen ein und drücken Sie die Eingabetaste.

Country Name (2 letter code):US State or Province Name (full name):Alabama Locality Name (eg, city):Montgomery Organization Name (eg, company):Linuxize Organizational Unit Name (eg, section):Marketing Common Name (eg server FQDN or YOUR name):linuxize.com Email Address:[email protected]

Das Zertifikat und der private Schlüssel werden am angegebenen Speicherort erstellt. Verwenden Sie den Befehl ls, um zu überprüfen, ob die Dateien erstellt wurden:

ls

example.crt example.key

Das ist es! Sie haben ein neues selbstsigniertes SSL-Zertifikat generiert.

Es ist immer eine gute Idee, Ihr neues Zertifikat und Ihren Schlüssel auf einem externen Speicherplatz zu sichern.

Selbstsigniertes SSL-Zertifikat ohne Eingabeaufforderung erstellen

openssl req -newkey rsa:4096 \ -x509 \ -sha256 \ -days 3650 \ -nodes \ -out example.crt \ -keyout example.key \ -subj "/C=SI/ST=Ljubljana/L=Ljubljana/O=Security/OU=IT Department/CN=www.example.com"

Generating a RSA private key…………………………………………………………….++++……..++++ writing new private key to 'example.key' -----

Die in der Zeile -subj angegebenen -subj sind nachfolgend aufgeführt:

• C= - Ländername. Die aus zwei Buchstaben bestehende ISO-Abkürzung. ST= - Name des Bundesstaates oder der Provinz. L= - Ortsname. Der Name der Stadt, in der Sie sich befinden. O= - Der vollständige Name Ihrer Organisation. OU= - Organisationseinheit. CN= - Der vollständig qualifizierte Domänenname.

Fazit

In diesem Handbuch haben wir Ihnen gezeigt, wie Sie mit dem Tool openssl ein selbstsigniertes SSL-Zertifikat erstellen. Nachdem Sie das Zertifikat erhalten haben, können Sie Ihre Anwendung für die Verwendung konfigurieren.

Fühlen Sie sich frei, einen Kommentar zu hinterlassen, wenn Sie Fragen haben.

Bash-Sicherheitsterminal