Journal

Feb 7 2009

Selbstsigniertes SSL-Zertifikat erstellen

Eher als Notizzettel für mich: kurz und knapp – so erstellt man ein selbstsigniertes SSL-Zertifikat mit OpenSSL:

Private Key erstellen
openssl genrsa -des3 -out server.key 1024

Private Key ohne Passwortschutz erstellen (für Apache u.a.)
openssl rsa -in server.key -out server.key.decrypted

Certificate Signing Request erstellen
openssl req -new -key server.key -out server.csr

Zertifikat ausstellen
openssl x509 -req -days 3650 -in server.csr -signkey server.key.decrypted -out server.crt

PEM-Datei (für Courier etc.) erstellen
cat server.key.decrypted server.crt > server.pem
openssl gendh >> server.pem

Veröffentlicht am:
Samstag, 7. Februar 2009, 2:14 Uhr
(vor 1 Jahr und 7 Monaten)
Schlagworte:
, ,
Kategorien:
IT
Kommentare:
Sie können Kommentare zu diesem Eintrag über den RSS-2.0-Feed verfolgen. Sie können einen Kommentar hinterlassen oder einen Trackback von Ihrer Website hierher setzen.

3 Kommentare zu „Selbstsigniertes SSL-Zertifikat erstellen“

  1. pikarl sagt:
    8. Februar 2009 um 17:52

    Hey Raffi,

    aber wie sieht´s mit einer Autorität von SSL-Zertifikaten aus? Die ist aus meiner Sicht das größte Problem, denn selbst signierte Zertifikate führen in allen Browsern zu ziemlich bösen Fehlermeldungen, die man zwar umgehen kann. Der unbedarfte User weiß das aber in der Regel nicht.

    Antworten
    • raphael sagt:
      8. Februar 2009 um 18:15

      Richtig, das ist so ein Problem. Da gibt es keine wirkliche Lösung dafür – außer ein Zertifikat kostenpflichtig von einer “vertrauenswürdigen Zertifizierungsstelle” ausstellen zu lassen. Ich hatte mal die Hoffnung, dass CAcert zu einer kostenlosen Alternative wird – leider sieht nach Jahren noch immer kein Browser diese Zertifizierungsstelle als vertrauenswürdig an.

      Schade finde ich auch das Verhalten der Browser. Richtig wäre eine deutliche Warnung, dass die Identität der Gegenseite nicht verifiziert werden kann. Dennoch wird die Verbindung ja per SSL verschlüsselt, was in meinen Augen der wichtigere Aspekt ist. Dass man die aufgerufene Seite mittlerweile ohne gefühlte 20 Klicks gar nicht sehen kann, geht da irgendwo zu weit.

      Die selbst signierten Zertifikate setze ich auch nur in nicht-öffentlichen Bereichen bzw. für Mail- und Jabber-Server ein, wo unbedarfte Benutzer eher nicht vorbeikommen und es auch tatsächlich nur um den Effekt der Verschlüsselung der Verbindung geht.

      Antworten
  2. pikarl sagt:
    26. Februar 2009 um 17:45

    Klassisches Beispiel: Internsystem für eine größere Redaktion. Hier hat man 30-40 teilweise technisch unbewanderte Nutzer, denen man ein sicheres und einfaches System bieten will. SSL ist ein Muss, ein trusted Zertifikat lohnt aber die Kosten bei Weitem nicht.

    Irgendwie sollten ja zumindest die Open Source-Browser wie Firefox keine Clientel-Politik für die großen Zertifizierer machen… :???:

    Antworten

Kommentieren

(wird nicht veröffentlicht, Gravatar-Unterstützung)
 
XHTML: Sie können folgende Elemente nutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre lang="" line="" escaped="">
 
 
«
»