{"id":33,"date":"2011-06-27T15:10:25","date_gmt":"2011-06-27T13:10:25","guid":{"rendered":"http:\/\/www.zerfallskonstante.de\/?p=33"},"modified":"2015-03-09T14:13:48","modified_gmt":"2015-03-09T13:13:48","slug":"rootca-unter-debian","status":"publish","type":"post","link":"https:\/\/www.zerfallskonstante.de\/?p=33","title":{"rendered":"rootCA unter debian"},"content":{"rendered":"

In diesem Beispiel soll mit Hilfe von openssl eine rootCA erzeugt werden, die den \u00f6ffentlichen Schl\u00fcssel f\u00fcr eine ServerCA signiert. Diese wiederrum soll den \u00f6ffentlichen Schl\u00fcssel, der beispielsweise in einem IIS-Webserver verwendet werden kann, signieren.<\/p>\n

Unter lenny sind die Pakete openssl und sharutils installiert.
\n
\nDer Ablauf ist dabei wie folgt:<\/p>\n

     1. Verzeichnisstruktur f\u00fcr rootCA und serverCA erstellen\r\n        1.1 .rand-Dateien erzeugen\r\n\r\n     2. rootCA anlegen\r\n        2.1 RCAkey.pem generieren\r\n        2.2 RCAcert.pem erzeugen\r\n\r\n     3. ServerCA anlegen\r\n        3.1 SCAkey.pem generieren\r\n        3.2 SCAcert.pem erzeugen\r\n\r\n     4. Werbserver Zertifikat erzeugen\r\n        4.1 Zertifikatsrequest im IIS erzeugen\r\n        4.2 Zertifikatsrequest SCAkey.pem signieren\r\n\r\n     5. PEM in cer konvertieren\r\n\r\n     6. Zertifikatskette exportieren\r\n<\/pre>\n
1. Verzeichnisstruktur f\u00fcr rootCA und serverCA erstellen<\/strong><\/h5>\n
Mit folgenden Befehlen wird die gew\u00fcnschte Struktur inklusive der Dateien angelegt.<\/p>\n
[bash]
\nmkdir \/root\/CA\/certs \/root\/CA\/private \/root\/CA\/rootCA \/root\/CA\/serverCA
\ncd \/root\/CA\/rootCA
\nmkdir certs newcerts private crl
\nchmod go-rwx private
\necho „01“ > serial
\necho „01“ > crlnumber
\ntouch index.txt
\ncd ..\/serverCA
\nmkdir certs newcerts private crl
\nchmod go-rwx private
\necho „01“ > serial
\necho „01“ > crlnumber
\ntouch index.txt
\ncd ..
\n[\/bash]<\/p>\n
In der Datei serial<\/em> wird die Seriennummer in hexadezimaler Codierung, des Zertifikats hinterlegt das als n\u00e4chste von der jeweiligen CA herausgegeben wird. In der Datei index.txt<\/em> sind die bereits signierten Zertifikate aufgelistet.<\/p>\n
1.1 .rand-Dateien erzeugen<\/strong><\/h6>\n
Der Verzeichnispfad \/root\/CA\/.. muss entsprechend der CA angepasst werden.<\/p>\n
[bash]
\nfor i in `find \/root\/CA\/serverCA\/ -name private`
\n   do cat \/dev\/urandom |
\n      uuencode -m bla |
\n      head -19 |
\n      sed „s\/begin.*\/\/g“ |
\n      tail -18 | xargs |
\n      sed „s\/ \/\/g“ > $i\/.rand
\n   chmod 770 $i\/.rand
\n   ls -l  $i\/.rand
\ndone
\n[\/bash]<\/p>\n
Die Verzeichnisstruktur inlusive der ben\u00f6tigten Dateien sieht nun wie folgt aus:<\/p>\n
[bash]
\n\/root\/CA\/
\n|– certs
\n|– openssl.cnf
\n|– private
\n\t`– .random
\n|– rootCA
\n|   |– certs
\n|   |– crl
\n|   |– crlnumber
\n|   |– index.txt
\n|   |– newcerts
\n|   |– private
\n\t\t`– .random
\n|   |– serial
\n`– serverCA
\n    |– certs
\n    |– crl
\n    |– crlnumber
\n    |– index.txt
\n    |– newcerts
\n    |– private
\n\t\t`– .random
\n    `– serial
\n[\/bash]<\/p>\n
2. rootCA anlegen<\/strong><\/h5>\n
2.1 RCAkey.pem generieren<\/strong><\/h6>\n
Mit folgendem Aufruf wird mit Hilfe einer zufallsgenerierten Zahl (.rand) eine 2048-Bit lange RSA-Schl\u00fcsseldatei (RCAkey.pem) erzeugt in der sowohl der private als auch der \u00f6ffentliche Schl\u00fcssel hinterlegt sind. Die Schl\u00fcsseldatei ist durch den Parameter aes256 passwortgesch\u00fctzt.<\/p>\n
Das Passwort (Passphrase) sollte den Anforderungen f\u00fcr sichere Passw\u00f6rtern<\/a> gen\u00fcgen, also am Besten eine Mischung aus Zahlen, Buchstaben und Sonderzeichen und mindestens 8 Zeichen lang sein. Bei nicht-Benutzerzertifikaten sollte\/muss der Parameter aes256 weggelassen werden, so ist der private Schl\u00fcssel passwortlos und ein Dienst oder \u00e4hnliches ben\u00f6tigt zum Starten kein Passwort. Der Zugriff auf den ohne Passwortschutz vorliegenden privaten Schl\u00fcssel muss \u00fcber ACL’s im Dateisystem entsprechend geregelt werden.<\/p>\n
[bash]
\nopenssl genrsa -aes256 -out .\/rootCA\/private\/RCAkey.pem -rand .\/rootCA\/private\/.rand 2048<\/p>\n
246 semi-random bytes loaded
\nGenerating RSA private key, 2048 bit long modulus
\n……………………..+++
\n….+++
\ne is 65537 (0x10001)
\nEnter pass phrase for .\/rootCA\/private\/RCAkey.pem: *****
\nVerifying – Enter pass phrase for .\/rootCA\/private\/RCAkey.pem: *****
\n[\/bash]<\/p>\n
2.2 RCAcert.pem erzeugen<\/strong><\/h6>\n
Mit der zuvor erzeugten Schl\u00fcsseldatei (RCAkey.pem) wird nun ein selbstsigniertes Zertifikat (RCAcert.pem) erzeugt, das f\u00fcr 50 Jahre (18530 Tage) g\u00fcltig ist. Die default-Werte der Attribute des Requests sind in der Sektion req_distinguished_name in der openssl.cnf hinterlegt. Das eindeutige Merkmal des Request ist das Attribut „hostname, IP or your name“.<\/p>\n
[bash]
\nopenssl req -new -x509 -set_serial 0 -days 18250 -config .\/openssl.cnf -key .\/rootCA\/private\/RCAkey.pem -out .\/rootCA\/certs\/RCAcert.pem
\nEnter pass phrase for .\/rootCA\/private\/RCAkey.pem: *****<\/p>\n
You are about to be asked to enter information that will be incorporated
\ninto your certificate request.
\nWhat you are about to enter is what is called a Distinguished Name or a DN.
\nThere are quite a few fields but you can leave some blank
\nFor some fields there will be a default value,
\nIf you enter ‚.‘, the field will be left blank.
\n—–
\nOrganization Name (company) [xyz]:
\nOrganizational Unit Name (department, division) [xyz]:
\nEmail Address xyz@zerfallskonstante.de]:
\nLocality Name (city, district) [xyz]:
\nState or Province Name (full name) [xyz]:
\nCountry Name (2 letter code) [DE]:
\nCommon Name (hostname, IP, or your name) []:caroot.zerfallskonstante.de
\n[\/bash]<\/p>\n
Im Verzeichnis \/root\/CA\/rootCA\/private befinden sich nun die RSA-Schl\u00fcsseldatei (RCAkey.pem) und im Verzeichnis \/root\/CA\/rootCA\/certs das selbstsignierte Zertifikat (RCAcert.pem) der rootCA.<\/p>\n
selbstsigniertes Zertifikat der rootCA ver\u00f6ffentlichen:<\/p>\n
[bash]
\ncp \/root\/CA\/rootCA\/certs\/RCAcert.pem \/root\/CA\/rootCA\/certs\/00.pem
\ncd \/root\/CA\/rootCA\/certs
\nln -s 00.pem `openssl x509 -in 00.pem -hash -noout`.0
\n[\/bash]<\/p>\n
Inhalt des RSA-Schl\u00fcssels anzeigen:<\/p>\n
[bash]
\nopenssl rsa -in \/root\/CA\/rootCA\/private\/RCAkey.pem -text | less
\n[\/bash]<\/p>\n
Inhalt des Zertifikats anzeigen:<\/p>\n
[bash]
\nopenssl x509 -in \/root\/CA\/rootCA\/certs\/00.pem -noout -text
\nopenssl x509 -in \/root\/CA\/rootCA\/certs\/00.pem -noout -dates
\nopenssl x509 -in \/root\/CA\/rootCA\/certs\/00.pem -noout -purpose
\n[\/bash]<\/p>\n
3. ServerCA anlegen<\/strong><\/h5>\n
Bei der ServerCA wird ebenfalls zuerst mit Hilfe einer zufallsgenerierten Zahl (.rand) eine 2048-Bit lange RSA-Schl\u00fcsseldatei (SCAkey.pem) erzeugt. Die Schl\u00fcsseldatei ist ebenfalls durch ein Passwort gesch\u00fctzt.<\/p>\n
3.1 SCAkey.pem generieren<\/strong><\/h6>\n
[bash]
\nopenssl genrsa -aes256 -out .\/serverCA\/private\/SCAkey.pem -rand .\/serverCA\/private\/.rand 2048
\n248 semi-random bytes loaded
\nGenerating RSA private key, 2048 bit long modulus
\n…..+++
\n…+++
\ne is 65537 (0x10001)
\nEnter pass phrase for .\/serverCA\/private\/SCAkey.pem:
\nVerifying – Enter pass phrase for .\/serverCA\/private\/SCAkey.pem:
\n[\/bash]<\/p>\n
Nun wird ein Zertifikatsrequest (SCAreq.pem) mit der zuvor erstellten Schl\u00fcsseldatei (SCAkey.pem) erzeugt.<\/p>\n
[bash]
\nopenssl req -config .\/openssl.cnf -new -key .\/serverCA\/private\/SCAkey.pem -out .\/serverCA\/SCAreq.pem
\nEnter pass phrase for .\/serverCA\/private\/SCAkey.pem:
\nYou are about to be asked to enter information that will be incorporated
\ninto your certificate request.
\nWhat you are about to enter is what is called a Distinguished Name or a DN.
\nThere are quite a few fields but you can leave some blank
\nFor some fields there will be a default value,
\nIf you enter ‚.‘, the field will be left blank.
\n—–
\nOrganization Name (company) [xyz]:
\nOrganizational Unit Name (department, division) [xyz]:
\nEmail Address xyz@zerfallskonstante.de]:
\nLocality Name (city, district) [xyz]:
\nState or Province Name (full name) [xyz]:
\nCountry Name (2 letter code) [DE]:
\nCommon Name (hostname, IP, or your name) []:casrv.zerfallskonstante.de<\/p>\n
Please enter the following ‚extra‘ attributes
\nto be sent with your certificate request
\nA Challenge Password []: *****GEHEIM*****
\n[\/bash]<\/p>\n
3.2 SCAcert.pem erzeugen<\/strong><\/h6>\n
Der Zertifikatsrequest (SCAreq.pem) wird nun mit dem RSA-Schl\u00fcssels (RCAkey.pem) der \u00fcbergeordneten CA signiert. Die Schl\u00fcsseldatei der rootCA wird \u00fcber die Parameter private_key in der Sektion Root_CA der openssl.cnf-Datei in den Aufruf eingebunden.<\/p>\n
[bash]
\nopenssl ca -config .\/openssl.cnf -name Root_CA -in .\/serverCA\/SCAreq.pem -out .\/serverCA\/certs\/SCAcert.pem<\/p>\n
Using configuration from openssl.cnf
\nEnter pass phrase for \/root\/CA\/rootCA\/private\/RCAkey.pem:
\nCheck that the request matches the signature
\nSignature ok
\nThe Subject’s Distinguished Name is as follows
\norganizationName      :PRINTABLE:’xyz‘
\norganizationalUnitName:PRINTABLE:’xyz‘
\nemailAddress          :IA5STRING:’xyz@zerfallskonstante.de‘
\nlocalityName          :PRINTABLE:’xyz‘
\nstateOrProvinceName   :PRINTABLE:’xyz‘
\ncountryName           :PRINTABLE:’DE‘
\ncommonName            :PRINTABLE:’casrv.zerfallskonstante.de‘
\nCertificate is to be certified until Jun 26 11:07:05 2016 GMT (1825 days)
\nSign the certificate? [y\/n]:y<\/p>\n
1 out of 1 certificate requests certified, commit? [y\/n]y
\nWrite out database with 1 new entries
\nData Base Updated
\n[\/bash]<\/p>\n
Das signierte Zertifikat der ServerCA (SCAcert.pem) liegt in \/root\/CA\/serverCA\/certs sowie als 01.pem in \/root\/CA\/rootCA\/newcerts (durch den Parameter new_cert_dir in der Sektion Root_CA in der openssl.cnf).<\/p>\n
signiertes Zertifikat der ServerCA ver\u00f6ffentlichen:<\/p>\n
[bash]
\nmv .\/rootCA\/newcerts\/01.pem .\/rootCA\/certs\/
\ncd .\/rootCA\/certs
\nln -s 01.pem `openssl x509 -in 01.pem -hash -noout`.0
\n[\/bash]<\/p>\n
Das Verzeichnis \/root\/CA\/rootCA\/certs sieht nun wie folgt aus:<\/p>\n
[bash]
\ndrwxr-xr-x 2 root root 4096  7. Sep 10:22 .
\ndrwxr-xr-x 5 root root 4096  7. Sep 10:11 ..
\n-rw-r–r– 1 root root 1533  6. Sep 13:55 00.pem
\n-rw-r–r– 1 root root 5108  7. Sep 10:11 01.pem
\nlrwxrwxrwx 1 root root    6  7. Sep 10:22 a155d062.0 -> 01.pem
\nlrwxrwxrwx 1 root root    6  7. Sep 10:22 d7b91c41.0 -> 00.pem
\n[\/bash]<\/p>\n
Die SCAcert.pem sollte nun auch in den oben genannten Kontainer in Windows importiert werden um die G\u00fcltigkeit von Zertifikaten, die von der Server_CA ausgestellt werden sicherzustellen.<\/p>\n
4. Werbserver Zertifikat erzeugen<\/strong><\/h5>\n
4.1 Zertifikatsrequest im IIS erzeugen<\/strong><\/h6>\n
\u00dcber die Eigenschaften der Standardwebseite im IIS-Manager wird auf dem Karteikartenreiter Verzeichnissicherheit, Serverzertifikat ausgew\u00e4hlt und ggf. ein bestehendes Zertifikat entfernt und dann ein neues Zertifikat beantragt.<\/p>\n
Der Inhalt des erzeugten CSR.txt wird \u00fcber die Zwischenablage (STRG+C) in die Datei wwwreq.csr kopiert. Die letzte Zeile ist u.U. eine leer Zeile, die entfernt werden muss.<\/p>\n
4.2 Zertifikatsrequest SCAkey.pem signieren<\/strong><\/h6>\n
[bash]
\nopenssl ca -config ..\/openssl.cnf -name Server_CA -policy policy_anything -in .\/serverCA\/wwwreq.csr -out .\/serverCA\/certs\/wwwcert.pem
\nUsing configuration from ..\/openssl.cnf
\nEnter pass phrase for \/root\/CA\/serverCA\/private\/SCAkey.pem:
\nCheck that the request matches the signature
\nSignature ok
\nThe Subject’s Distinguished Name is as follows
\nOrganization Name (company) [xyz]:
\nOrganizational Unit Name (department, division) [xyz]:
\nEmail Address [xyz@zerfallskonstante.de]:
\nLocality Name (city, district) [xyz]:
\nState or Province Name (full name) [xyz]:
\nCountry Name (2 letter code) [DE]:
\nCommon Name (hostname, IP, or your name) []:www.zerfallskonstante.de
\nCertificate is to be certified until Sep  5 09:44:15 2016 GMT (1825 days)
\nSign the certificate? [y\/n]:y<\/p>\n
1 out of 1 certificate requests certified, commit? [y\/n]y
\nWrite out database with 1 new entries<\/p>\n
Data Base Updated
\n[\/bash]<\/p>\n
5. PEM in cer konvertieren<\/strong><\/h5>\n
Das wwwcert.pem wird, damit es in den IIS importiert werden kann, DER-Kodiert.<\/p>\n
[bash]
\nopenssl x509 -in wwwcert.pem -inform PEM -out wwwcert.cer -outform DER
\n[\/bash]<\/p>\n
6. Zertifikatskette exportieren<\/strong><\/h5>\n
Die Zertifikatskette ist in der wwwcert.cer NICHT enthalten. Mit folgendem Aufruf wird das Zertifikat (01.pem) der ServerCA und das der rootCA (00.pem) unter Verwendung des privaten Schl\u00fcssels (SCAkey.pem) in eine pkcs12-Codierte Datei exportiert, die auf Windows Systemen in den Container der Vertrauensw\u00fcrdigen Stammzertifizierungsstellen importiert werden muss. Der Parameter chain ist hierbei wichtig.<\/p>\n
[bash]
\nopenssl pkcs12 -export -chain -in .\/rootCA\/certs\/01.pem -inkey .\/serverCA\/private\/SCAkey.pem -out .\/serverCA\/certs\/certChain.p12 -CAfile .\/rootCA\/certs\/00.pem
\nEnter pass phrase for .\/serverCA\/private\/SCAkey.pem:
\nEnter Export Password:
\nVerifying – Enter Export Password:
\n[\/bash]<\/p>\n
verwendete openssl.cnf<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"
In diesem Beispiel soll mit Hilfe von openssl eine rootCA erzeugt werden, die den \u00f6ffentlichen Schl\u00fcssel f\u00fcr eine ServerCA signiert. Diese wiederrum soll den \u00f6ffentlichen Schl\u00fcssel, der beispielsweise in einem IIS-Webserver verwendet werden kann, signieren. Unter lenny sind die Pakete … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9,13],"tags":[5,6,4,7],"class_list":["post-33","post","type-post","status-publish","format-standard","hentry","category-linux","category-openssl","tag-bash","tag-ca","tag-linux","tag-openssl"],"_links":{"self":[{"href":"https:\/\/www.zerfallskonstante.de\/index.php?rest_route=\/wp\/v2\/posts\/33","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.zerfallskonstante.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.zerfallskonstante.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.zerfallskonstante.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.zerfallskonstante.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=33"}],"version-history":[{"count":114,"href":"https:\/\/www.zerfallskonstante.de\/index.php?rest_route=\/wp\/v2\/posts\/33\/revisions"}],"predecessor-version":[{"id":665,"href":"https:\/\/www.zerfallskonstante.de\/index.php?rest_route=\/wp\/v2\/posts\/33\/revisions\/665"}],"wp:attachment":[{"href":"https:\/\/www.zerfallskonstante.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=33"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.zerfallskonstante.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=33"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.zerfallskonstante.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=33"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}