[[fhc:server|zurück zur Übersicht]]
====== SSL Zertifikate ======
== Erstellen eines CSR ==
Mit folgendem Befehl wird einer neuer Key erstellt und ein dazupassender CSR mit dem danach das Zertifikat angefordert werden kann.
openssl req -nodes -new -newkey rsa:2048 -sha256 -out csr.pem
== Erstellen von selbstsignierten Zertifikaten ==
Für Testzwecke kann auch ein selbstsigniertes Zertfikat erstellt werden.
Key und Zertifikat werden mit folgendem Befehl erzeugt
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout fhcomplete.key -out fhcomplete.crt
== Anzeigen von Zertifikatsinformationen ==
Die Details eines Zertifikats können mit folgendem Befehl angezeigt werden:
openssl x509 -text -in fhcomplete.crt
== Zertifikat im Zertifikatsspeicher ablegen ==
Damit die Dokumentenerstellung funktioniert muss das Zertifikat im Zertifikatsspeicher des Betriebssystems abgelegt werden damit dem Zertifikat vertraut wird. Dazu wird das Zertifikat nach /usr/local/share/ca-certificates kopiert
Danach muss der Zertifikatsspeicher aktualisiert werden.
cp fhcomplete.crt /usr/local/share/ca-certificates/
update-ca-certificates
== Zertifikat des Servers anzeigen ==
Mit folgenden Befehl kann die Zertifikate des Servers angezeigt werden.
openssl s_client -showcerts -connect ldap.example.com:636
Sind mehrere VHosts auf dem Server muss der Servername mitgeschickt werden um das korrekte Zertifikat zu erhalten (SNI):
openssl s_client -showcerts -servername ldap.example.com -connect ldap.example.com:636
== Prüfen ob das Zertifikat valide ist ==
openssl verify fhcomplete.pem
== Prüfen ob das Zertifikat zum Private Key passt ==
Um zu Prüfen ob ein Zertifikat auch wirklich zu einem Key passt muss der Output der folgenden 2 Befehle verglichen werden. Wird das selbe Ergebnis ausgegeben, dann passen die beiden zusammen.
openssl rsa -noout -modulus -in fhcomplete.key | openssl md5
openssl x509 -noout -modulus -in fhcomplete.crt | openssl md5
== Konvertieren des Zertifikats ==
Mit folgendem Befehl kann das Zertifikat von .cer oder .crt nach .pem konvertiert werden
openssl x509 -inform der -in fhcomplete.crt -out fhcomplete.pem