Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.
Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung Nächste ÜberarbeitungBeide Seiten, nächste Überarbeitung | ||
server_und_serverdienste:eigene_ca_bauen_und_zertifikate_ausrollen [2019/02/12 01:00] – boospy | server_und_serverdienste:eigene_ca_bauen_und_zertifikate_ausrollen [2019/03/06 22:17] – [Vorbereiten des Servers] boospy | ||
---|---|---|---|
Zeile 37: | Zeile 37: | ||
locate .pem | grep " | locate .pem | grep " | ||
</ | </ | ||
+ | PFX Inhalt anzeigen: | ||
+ | < | ||
+ | openssl pkcs12 -info -in testcert.pfx | ||
+ | </ | ||
+ | |||
+ | ==== Vorbereiten des Servers ==== | ||
+ | Wir verwenden hier ein Ubuntu 18.04 als CA Server. Sehr gut eigent sich auch ein LXC-Container oder Docker. Auch kann man die natürlich überall wo es passt dazu installieren. Folgende Pakete sollten installiert sein. | ||
+ | < | ||
+ | apt-get install ca-certificates ca-certificates-java ca-certificates-mono openssl gnutls-bin libnss3-tools | ||
+ | </ | ||
+ | Nun passen wir noch unsere ''/ | ||
+ | |||
+ | [[https:// | ||
+ | |||
+ | <file bash openssl.cnf> | ||
+ | ... | ||
+ | [ CA_default ] | ||
+ | ... | ||
+ | default_days | ||
+ | default_crl_days= 30 # how long before next CRL | ||
+ | default_md | ||
+ | preserve | ||
+ | ... | ||
+ | # Extension copying option: use with caution. | ||
+ | # copy_extensions = copy | ||
+ | ... | ||
+ | [ v3_req ] | ||
+ | ... | ||
+ | subjectAltName = @alt_names | ||
+ | ... | ||
+ | [ alt_names ] | ||
+ | DNS.1 = *.osit.cc | ||
+ | DNS.2 = localhost | ||
+ | DNS.3 = ip6-localhost | ||
+ | IP.1 = 127.0.0.1 | ||
+ | IP.2 = ::1 | ||
+ | ... | ||
+ | [ v3_ca ] | ||
+ | ... | ||
+ | subjectAltName = @alt_names | ||
+ | ... | ||
+ | |||
+ | </ | ||
+ | Alle anderen Anpassungen im File sind zwecks Automatisierung empfohlen. | ||
===== CA global in Ubuntu einspielen ===== | ===== CA global in Ubuntu einspielen ===== | ||
Das CA ganz einfach unter ''/ | Das CA ganz einfach unter ''/ | ||
Zeile 80: | Zeile 124: | ||
} | } | ||
</ | </ | ||
+ | Und noch ein Beispiel: | ||
+ | <file json policies.json> | ||
+ | { | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | ] | ||
+ | }, | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | "/ | ||
+ | "/ | ||
+ | ] | ||
+ | } | ||
+ | } | ||
+ | } | ||
+ | </ | ||
+ | |||
Man kann auch Zertifikate in dem Verzeichnis des Benutzers ablegen '' | Man kann auch Zertifikate in dem Verzeichnis des Benutzers ablegen '' | ||
Zeile 117: | Zeile 184: | ||
* [[https:// | * [[https:// | ||
* [[https:// | * [[https:// | ||
+ | * https:// | ||
+ | |||
In Windows muss der Ordner Stammzertifizierungsstellen für das CA manuel ausgewählt werden um in Edge oder IE zu trusten. Das trusted wie es aussieht auch Chrome und Firefox, das wird aber nochmal getestet. | In Windows muss der Ordner Stammzertifizierungsstellen für das CA manuel ausgewählt werden um in Edge oder IE zu trusten. Das trusted wie es aussieht auch Chrome und Firefox, das wird aber nochmal getestet. | ||