OpenSSL-basierte Certificate Authority einrichten

Flexibler ausweisen

Das OpenSSL-Framework stellt im Kryptografie-Umfeld bekanntermaßen das Gegenstück zum Schweizer Taschenmesser dar. Mit der Software lässt sich eine Certificate Authority zum Ausstellen und Validieren von X.509-Zertifikaten aufbauen. Der Open-Source-Tipp liefert eine Anleitung zum Setup einer solchen Certificate Authority. Das OpenSSL-Framework stellt im Kryptografie-Umfeld bekanntermaßen das Gegenstück zum Schweizer Taschenmesser dar. Mit der Software lässt sich eine Certificate Authority zum Ausstellen und Validieren von X.509-Zertifikaten aufbauen. Der Open-Source-Tipp liefert eine Anleitung zum Setup einer solchen Certificate Authority.
Die Datenmengen in Unternehmen wachsen unaufhaltsam. Zunehmend wichtig wird daher das intelligente Aufbewahren und Bereitstellen der Informationen. Im Juni-Heft ... (mehr)

Im Unternehmensumfeld existieren Public-Key-Infrastrukturen (PKI), die beim Ausstellen eines X.509-Zertifikats helfen. Der Aufwand, ein solches Zertifikat zu beziehen, ist allerdings in manchen Fällen recht groß – zum Beispiel, wenn es um das Setup eines Testsystems geht. Hier kann die Ausstellung des Zertifikats unter Umständen mehrere Stunden oder gar Tage in Anspruch nehmen. Mithilfe einer öffentlichen Zertifizierungsstelle wie beispielsweise Let's Encrypt kämen Sie zumindest schnell an ein Domain-validated Certificate (DV). Gegebenenfalls soll das Zertifikat aber nicht auf öffentlichen Listen der Certificate Authority (CA) erscheinen. Zudem lassen sich auch nicht immer sämtliche Anforderungen einer öffentlichen CA umsetzen.

Eine weitere Möglichkeit besteht darin, mittels OpenSSL [1] ein selbstsigniertes Zertifikat auszustellen. Dies führt allerdings auf den Clientsystemen zu Fehlern, da diese das Zertifikat nicht validieren können. Daher ist es hilfreich, wenn Ihre Testumgebung über eine eigene CA verfügt. Im Folgenden zeigen wir den Aufbau einer einfachen OpenSSL-basierten CA. Das Framework ist auf nahezu sämtlichen Linux-Systemen vorhanden und das Setup geht zudem schnell von der Hand.

Zertifizierungsstelle installieren

Um die Installation möglichst einfach zu halten, konfigurieren wir auf einem Linux-System eine einzelne CA-Instanz, die sich dann auch um die Ausstellung der Zertifikate für die Zielsysteme beziehungsweise Endbenutzer kümmert. Üblicherweise ist jedoch zumindest noch eine weitere Zertifizierungsstelle als sogenannte Intermediate-CA zwischengeschaltet.

Listing 1 enthält das Shellskript "setup-ca.sh", mit dem Sie die CA installieren. Dieses erzeugt zuerst die benötigte Verzeichnisstruktur mit den korrekten Berechtigungen und anschließend den privaten und öffentlichen Schlüssel für die CA. Hierzu kommt die

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021