DEBIAN OPENSSL UND CERTS FAQ

Aus OPPServer.net Wiki | OPPs Wiki
Zur Navigation springen Zur Suche springen

DEBIAN OPENSSL UND CERTS FAQ (Stand 17.11.2013) [ © Oliver Schuetz aka OppTupacShakur | http://OPPServer.net | http://unix.oppserver.net ]

Als erstes openssl installieren mit:

sudo aptitude install openssl


Nun werden fuer die jeweiligen Domains Certs erstellt (URL muss mit der jeweiligen domain ersetzt werden).

sudo mkdir /usr/share/ssl-cert
cd /usr/share/ssl-cert

Beim naechsten Befehl wird man nach einen Key gefragt, den sollte man sich gut merken.

sudo openssl genrsa -des3 -out /usr/share/ssl-cert/URL.key 2048

Hiermit wird ein 10jahre laufendes zertifikat erstellt:

sudo openssl req -new -days 3650 -key /usr/share/ssl-cert/URL.key -out /usr/share/ssl-cert/URL.csr
Country Name (2 letter code) [AU]:DE					<< hier wird ein 2 stelliger laendercode benoetigt, . laesst die zeile leer
State or Province Name (full name) [Some-State]:NRW			<< hier wird das bundesland benoetigt, . laesst die zeile leer
Locality Name (eg, city) []:Herne					<< hier wird der name der stadt benoetigt, . laesst die zeile leer
Organization Name (eg, company) [Internet Widgits Pty Ltd]:.		<< hier wird der firmenname benoetigt, . laesst die zeile leer
Organizational Unit Name (eg, section) []:.				<< optinale namensangabe, . laesst die zeile leer
Common Name (eg, YOUR name) []:URL					<< hier sollte man die url angeben
Email Address []:admin@domain.de					<< hier sollte man seine emailadresse angeben, . laesst die zeile leer
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:xxxxx						<< hier wird ein weiteres passwort abgefragt
An optional company name []:.						<< optinaler firmenname, . laesst die zeile leer


sudo openssl rsa -in /usr/share/ssl-cert/URL.key -out /usr/share/ssl-cert/URL.key.decrypted


Cacert Zertifikat beantragen: (folgendes muss etwa alle 6monate wiederholt werden, da diese von cacerts.org nur 6 monate gueltig sind)

Account bei cacert.org erstellen und die entsprechende Domain, unter Domains->hinzufuegen, eintragen. Nachdem die Domain hinzugefuegt wurde, kann nun das Server Zertifikat beantragt werden. Dazu geht man in Server Zertifikate->neu und kopiert den Inhalt von /usr/share/ssl-cert/URL.csr in das Textfeld. Den Inhalt kann man sich wie folgt anzeigen lassen:

cat /usr/share/ssl-cert/URL.csr
-----BEGIN CERTIFICATE REQUEST-----
.
.
-----END CERTIFICATE REQUEST-----


Nach ein paar Sekunden wird das CAcert Zertifikat angezeigt:


-----BEGIN CERTIFICATE------
.
.
-----END CERTIFICATE-----


Nun eine neue Datei mit den Namen URL.crt erstellen und das Zertifikat von Cacert dort hinein kopieren:

sudo nano /usr/share/ssl-cert/URL.crt


sudo bash -c "cat /usr/share/ssl-cert/URL.key.decrypted /usr/share/ssl-cert/URL.crt > /usr/share/ssl-cert/URL.pem"


Jetzt wird noch das root Zertifikat von Cacert benoetigt:

sudo wget --no-check-certificate https://www.CAcert.org/certs/root.crt -O /usr/share/ssl-cert/cacert.crt
sudo chmod a=r /usr/share/ssl-cert/cacert.crt


Postfix TLS und Courier

http://unix.oppserver.net/debian/postfix_debian_install


Proftpd

http://unix.oppserver.net/debian/proftpd_tls-ssl_faq_debian


Hier wie man diese dann im Client installiert

http://cacert.oppserver.net/