====== Zertifikate - Selbstsigniert ======
Selbst-signierte Zertifikate werden von einer [[devices:env:ca|Certificate Authority]] ausgestellt.

===== Zertifikat erstellen =====
Zur Zertifikatserstellung müssen zunächst folgende Variablen festgelegt werden:

^ Variable        ^ Beschreibung                                                ^ Beispiel          ^
^ CA-Anbieter     | Siehe [[devices:env:ca|]]                                   | HSE-IT            |
^ Datum           | Erzeugungsdatum des Zertifikates im ISO 8601 Format         | 2023-01-09        |
^ hostname        | Hostname des Gerätes                                        | sv1               |
^ yourdomain      | Registrierte URL beim [[devices:env:ddns|DynDNS Anbieter]]  | hse-it.spdns.org  |

**Hinweis**: Bei einer FRITZ!Box und den Geräten, die via Portfreigaben hinter FRITZ!Boxen freigegeben sind bleibt die Variable hostname leer.

==== Key erzeugen ====
Auf dem Gerät mit der Certificate Authority in den Ordner <CA-Anbieter>-CA wechseln

<code>
 openssl genrsa -out <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-key.pem 4096
</code>

==== Certificate Signing Request erzeugen ====
<code>
 openssl req -new -key <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-key.pem -out <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-csr.pem
</code>

  * Country Name: DE
  * State or Province Name: <Bundesland>
  * Locality Name: <Stadt>
  * Organization Name: <CA-Anbieter>
  * Organizational Unit Name: IT
  * Common Name: <hostname>.<yourdomain>
  * Email-Address: <keine>
  * A challenge password: <keines>
  * An optional company name: <keine>

==== Zertifikat erzeugen ====
<code>
# Zertifikat mit dem Common Name (CN) auch als Subject Alternative Name (SAN) erzeugen
openssl x509 -req -extfile <(printf "subjectAltName=DNS:<yourdomain>,DNS:fritz.box") -days 3650 -in <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-csr.pem -CA <CA-Anbieter>-CA-<CA-Datum>-crt.pem -CAkey <CA-Anbieter>-CA-<CA-Datum>-key.pem -out <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-crt.pem
#
# Zertifikat kontrollieren
openssl x509 -in <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-crt.pem -text -noout
#
# Fingerprint anzeigen
openssl x509 -fingerprint -in <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-crt.pem -noout
</code>

===== Zertifikat installieren =====
==== FRITZ!Box ====
Für die FRITZ!Box muss das Zertifikat und der Key in eine Datei kopiert werden:
<code>
cat <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-crt.pem <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-key.pem > <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-crt+key.pem
</code>

Zertifikat in die Fritzbox importieren
  * Internet / Freigaben / FRITZ!Box-Dienste / Zertifikat / Benutzereigenes Zertifikat
    * Die Datei <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-crt+key.pem importieren

==== Linux ====
Die 2 selbstsignierten Zertifikatsdateien

  <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-crt.pem
  <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-key.pem

nach /etc/ssl/certs kopieren und anpassen:

<code>
chown root:root /etc/ssl/certs/<CA-Anbieter>-CA-*
chmod 644 /etc/ssl/certs/<CA-Anbieter>-CA-<hostname>.<yourdomain>*crt.pem
chmod 600 /etc/ssl/certs/<CA-Anbieter>-CA-<hostname>.<yourdomain>*key.pem
</code>