Einrichten der OpenSSL Zertifizierungsstelle |
Die Zertifikate zur VPN IPSec-Authentifizierung werden in diesem Beispiel mit der in OpenSSL
mitgelieferten DemoCA erstellt. Hier wird die OpenSSL Version 0.9.8g verwendet. Zur Erstellung der
Zertifizierungsstelle und Generierung der Zertifikate wird das in OpenSSL mitgelieferte Script
CA.sh
genutzt (zu finden bei Debian unter
/usr/lib/ssl/misc/CA.sh
). Das Kommando zum Erstellen einer neuen Zertifizierungsstelle
CA.sh -newca
muss nur einmal ausgeführt werden. Auf Basis dieser Zertifizierungsstelle
werden die Benutzerzertifikate erstellt und im PKCS#12 Format exportiert.
Wenn die OpenSSL Standardeinstellungen (openssl.cnf
) verwendet werden, wird beim
erstellen einer neuen Zertifizierungsstelle ein Verzeichnis
demoCA
erstellt das folgende Informationen enthält:
private/cakey.pem
|
privater Schlüssel der Zertifizierungsstelle (CA) |
cacert.pem
|
selbstzertifziertes Zertifikat der Zertifizierungsstelle (CA |
index.txt
|
Liste der bereits ausgestellten Zertifikate |
|
Seriennummer für das nächste Zertifikat |
newcerts
|
Verzeichnis für erstellte Zertifikate |
Im Folgenden wird ein Beispiel zum Erstellen einer neuen Zertifizierungsstelle mittels OpenSSL bzw. dem
Script
CA.sh -newca
gezeigt:
Copyright© Version 01/2020 bintec elmeg GmbH |