Mit folgendem Befehl wird einer neuer Key erstellt und ein dazupassender CSR mit dem danach das Zertifikat angefordert werden kann.
openssl req -nodes -new -newkey rsa:2048 -sha256 -out csr.pem
Für Testzwecke kann auch ein selbstsigniertes Zertfikat erstellt werden. Key und Zertifikat werden mit folgendem Befehl erzeugt
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout fhcomplete.key -out fhcomplete.crt
Die Details eines Zertifikats können mit folgendem Befehl angezeigt werden:
openssl x509 -text -in fhcomplete.crt
Damit die Dokumentenerstellung funktioniert muss das Zertifikat im Zertifikatsspeicher des Betriebssystems abgelegt werden damit dem Zertifikat vertraut wird. Dazu wird das Zertifikat nach /usr/local/share/ca-certificates kopiert Danach muss der Zertifikatsspeicher aktualisiert werden.
cp fhcomplete.crt /usr/local/share/ca-certificates/ update-ca-certificates
Mit folgenden Befehl kann die Zertifikate des Servers angezeigt werden.
openssl s_client -showcerts -connect ldap.example.com:636
Sind mehrere VHosts auf dem Server muss der Servername mitgeschickt werden um das korrekte Zertifikat zu erhalten (SNI):
openssl s_client -showcerts -servername ldap.example.com -connect ldap.example.com:636
openssl verify fhcomplete.pem
Um zu Prüfen ob ein Zertifikat auch wirklich zu einem Key passt muss der Output der folgenden 2 Befehle verglichen werden. Wird das selbe Ergebnis ausgegeben, dann passen die beiden zusammen.
openssl rsa -noout -modulus -in fhcomplete.key | openssl md5 openssl x509 -noout -modulus -in fhcomplete.crt | openssl md5
Mit folgendem Befehl kann das Zertifikat von .cer oder .crt nach .pem konvertiert werden
openssl x509 -inform der -in fhcomplete.crt -out fhcomplete.pem