Benutzer-Werkzeuge

Webseiten-Werkzeuge


devices:env:certs-ss

Zertifikate - Selbstsigniert

Selbst-signierte Zertifikate werden von einer Certificate Authority ausgestellt.

Zertifikat erstellen

Zur Zertifikatserstellung müssen zunächst folgende Variablen festgelegt werden:

Variable Beschreibung Beispiel
CA-Anbieter Siehe Certificate Authority HSE-IT
Datum Erzeugungsdatum des Zertifikates im ISO 8601 Format 2023-01-09
hostname Hostname des Gerätes sv1
yourdomain Registrierte URL beim DynDNS Anbieter hse-it.spdns.org

Hinweis: Bei einer FRITZ!Box und den Geräten, die via Portfreigaben hinter FRITZ!Boxen freigegeben sind bleibt die Variable hostname leer.

Key erzeugen

Auf dem Gerät mit der Certificate Authority in den Ordner <CA-Anbieter>-CA wechseln

 openssl genrsa -out <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-key.pem 4096

Certificate Signing Request erzeugen

 openssl req -new -key <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-key.pem -out <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-csr.pem
  • Country Name: DE
  • State or Province Name: <Bundesland>
  • Locality Name: <Stadt>
  • Organization Name: <CA-Anbieter>
  • Organizational Unit Name: IT
  • Common Name: <hostname>.<yourdomain>
  • Email-Address: <keine>
  • A challenge password: <keines>
  • An optional company name: <keine>

Zertifikat erzeugen

# Zertifikat mit dem Common Name (CN) auch als Subject Alternative Name (SAN) erzeugen
openssl x509 -req -extfile <(printf "subjectAltName=DNS:<yourdomain>,DNS:fritz.box") -days 3650 -in <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-csr.pem -CA <CA-Anbieter>-CA-<CA-Datum>-crt.pem -CAkey <CA-Anbieter>-CA-<CA-Datum>-key.pem -out <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-crt.pem
#
# Zertifikat kontrollieren
openssl x509 -in <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-crt.pem -text -noout
#
# Fingerprint anzeigen
openssl x509 -fingerprint -in <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-crt.pem -noout

Zertifikat installieren

FRITZ!Box

Für die FRITZ!Box muss das Zertifikat und der Key in eine Datei kopiert werden:

cat <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-crt.pem <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-key.pem > <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-crt+key.pem

Zertifikat in die Fritzbox importieren

  • Internet / Freigaben / FRITZ!Box-Dienste / Zertifikat / Benutzereigenes Zertifikat
    • Die Datei <CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-crt+key.pem importieren

Linux

Die 2 selbstsignierten Zertifikatsdateien

<CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-crt.pem
<CA-Anbieter>-CA-<hostname>.<yourdomain>-<Datum>-key.pem

nach /etc/ssl/certs kopieren und anpassen:

chown root:root /etc/ssl/certs/<CA-Anbieter>-CA-*
chmod 644 /etc/ssl/certs/<CA-Anbieter>-CA-<hostname>.<yourdomain>*crt.pem
chmod 600 /etc/ssl/certs/<CA-Anbieter>-CA-<hostname>.<yourdomain>*key.pem
devices/env/certs-ss.txt · Zuletzt geändert: 2023/02/06 10:52 von hse