OpenSSL

Links

• OpenSSL Project
• How To Setup a CA
• Zertifikate erneuern
• Howto: Make Your Own Cert And Revocation List With OpenSSL
• Diskussion über Schlüssellängen
• X.509 auf Wikipedia
• RSA auf Wikipedia
• Survival guides - TLS/SSL and SSL (X.509) Certificates
• Create CSR using OpenSSL Without Prompt

Wichtige Kommandos

Neuen Masterschlüssel erzeugen

openssl genrsa -des3 -out mycert.key 2048

Masterschlüssel mit sich selbst signieren

openssl req -new -x509 -days 3650 -key mycert.key -out mycert.crt -config openssl.cnf

Passwort von Schlüssel entfernen

openssl rsa -in mycert_with_password.key -out mycert_without_passwort.key

Zertifikat oder Schlüssel anzeigen

openssl x509 -noout -text -in mycert.crt

Zertifikat prüfen

openssl req -verify -noout -in mycert.crt

Benutzerzertifikat anlegen und unterschreiben

openssl req -newkey rsa:1024 -keyout mycert.key -config openssl.cnf -out mycert.req
openssl ca -config openssl.cnf -out mycert.crt -infiles mycert.req

Zertifikat für Computer anlegen und unterschreiben

openssl req -newkey rsa:1024 -keyout mycert.key -nodes -config openssl.cnf -out mycert.req 
openssl ca -config openssl.cnf -out mycert.crt -infiles mycert.req

Zertifikat wiederrufen

openssl ca -config openssl.cnf -revoke mycert.crt
openssl ca -updatedb
openssl ca -config openssl.cnf -gencrl -out ca-crl.pem
openssl crl -inform pem -outform der -in ca-crl.pem -out ca-crl.crl

Zertifikatsdatenbank aktualisieren

openssl ca -updatedb