Nächste Seite: Das Certs_dehydrated-Paket Aufwärts: eisfair-Dokumentation Vorherige Seite: Das Capi2Text-Paket Inhalt Index
Dieses Paket stellt Funktionen zur Verfügung um TLS-Zertifikate erstellen und verwalten zu können.
Das Certs-Paket beinhaltet keine weiteren externen Komponenten.
Ein lauffähiger eisfair-Server ;-)
Das Certs-Paket wird über das Setup-Menü installiert. Wird eine ältere Paketversion vorgefunden, so wird diese deinstalliert bevor die neuen Programmdateien installiert werden.
Das Menü im Setup-Programm ist wie folgt aufgebaut:
Die Menüpunkte dürften selbsterklärend sein, da sie keinerlei weitere Eingaben erwarten. Aus diesem Grund wird auf deren Funktion nicht weiter eingegangen.
Die Konfiguration kann über den Menüpunkt 'Edit configuration' geändert werden. Standardmäßig wird der Editor aufgerufen, der in der Environment- Konfiguration über die Variable 'EDITOR' festgelegt wurde. Nachdem der Editor beendet wurde wird abgefragt, ob die Konfiguration aktiviert werden soll. Wird dies bestätigt, werden über ein Skript die Anpassungen umgehend wirksam gemacht.
In der Konfigurationsdatei, die über das Menü zugänglich ist, sind folgende Parameter vorhanden; wer sie von Hand editieren will findet sie unter /etc/config.d/certs.
Gültige Werte: yes, no
Standardeinstellung: START_CERTS='no'
Gültige Werte: yes, no
Standardeinstellung: CERTS_CA_HOME='no'
ACHTUNG
Es muss sicher gestellt werden, dass das Gerät auf welchem
das Zertifikat verwendet werden soll, auch in der Lage ist den
verwendeten Hash Algorithmus zu verwenden!
Gültige Werte: sha1, sha224, sha256, (sha384), sha512
Standardeinstellung: CERTS_HASH_ALGORITHM='sha384'
Gültige Werte: 1024, (2048), 4096, 8192
Standardeinstellung: CERTS_RSA_KEYBITS='2048'
Gültige Werte: yes, no
Standardeinstellung: CERTS_UNIQUE_SUBJECT='yes'
Gültige Werte: vollständiger Domainname
Standardeinstellung: CERTS_WEBSERVER_NAME=”
Gültige Werte: Dateiname oder URL
Standardeinstellung: CERTS_CA_BUNDLE_URL=”
Die folgenden sieben Parameter (CERTS_CA_..) werden nur verwendet, wenn dieser Server als Zertifizierungstelle (Certificate Authority (CA)) fungiert, d.h. der Parameter CERTS_CA_HOME='yes' gesetzt wurde.
Gültige Werte: zweistelliger Länderkode
Standardeinstellung: CERTS_CA_CCODE='DE'
Gültige Werte: Name des States oder der Provinz
Standardeinstellung: CERTS_CA_STATE='Nordrhein Westfalen'
Gültige Werte: Ortsname
Standardeinstellung: CERTS_CA_LOCALITY='Koeln'
Gültige Werte: Name der Organisation
Standardeinstellung: CERTS_CA_ORGA_NAME='eisfair CA'
Gültige Werte: Name der Organisationseinheit
Standardeinstellung: CERTS_CA_ORGA_UNIT='My eisfair Certificate Authority'
Gültige Werte: Administratorname
Standardeinstellung: CERTS_CA_ADMIN_NAME='eisfair Administrator'
Gültige Werte: E-Mail-Adresse des Administrators
Standardeinstellung: CERTS_CA_ADMIN_EMAIL=”
Die folgenden sechs Parameter (CERTS_CERT_..) werden bei der Erstellung von Zertifikatsanfragen heran gezogen.
Gültige Werte: zweistelliger Länderkode
Standardeinstellung: CERTS_CERT_CCODE='DE'
Gültige Werte: Name des States oder der Provinz
Standardeinstellung: CERTS_CERT_STATE='Nordrhein Westfalen'
Gültige Werte: Ortsname
Standardeinstellung: CERTS_CERT_LOCALITY='Koeln'
Gültige Werte: Name der Organisationseinheit
Standardeinstellung: CERTS_CERT_ORGA_NAME='private'
Gültige Werte: Name der Organisationseinheit
Standardeinstellung: CERTS_CERT_ORGA_UNIT='eisfair'
Gültige Werte: Names des Zertifikatsanforderers
Standardeinstellung: CERTS_CERT_REQ_NAME='cert Requestor'
Gültige Werte: E-Mail-Adresse des Erstellers einer Zertifikatsanfrage
Standardeinstellung: CERTS_CERT_REQ_EMAIL=”
Hinweis
Da diese Funktion exzessiven Gebrauch des at-Programms macht,
ist es notwendig, dass in der base-Konfiguration der Parameter START_ATD='yes'
gesetzt ist.
Gültige Werte: yes, no
Standardeinstellung: CERTS_CRL_CRON='yes'
1 - Minuten, 2 - Stunden, 3 - Tag des Monats, 4 - Monat, 5 - Wochentag.
D.h. bei Verwendung der Standardeinstellung wird jeden Montag um 02:11h eine Aktualisierung durchgeführt. Wer Näheres über die verwendete Befehlssyntax erfahren möchte, sollte über eine Internet-Suchmaschine nach 'man' und 'crontab' suchen.
Gültige Werte: Crontab-spezifischer Parametereintrag
Standardeinstellung: CERTS_CRL_CRON_SCHEDULE='11 2 * * 1'
Gültige Werte: Zahl
Standardeinstellung: CERTS_LOG_COUNT='6'
Gültige Werte: daily, weekly, monthly
Standardeinstellung: CERTS_LOG_INTERVAL='weekly'
Das Menü zur Zertifikatsgenerierung fasst alle notwendigen Schritte zur Erstellung einer eigenen Zertifizierungsstelle (CA), einer Instanz zum Ausstellen und Signieren eigener Zertifikate, und dem Generierung eigener Server- oder Anwenderzertifikate zusammen.
Serverzertifikate werden, wie der Name vermuten lässt, zur eindeutigen
Identifikation von Servern, die z.B. Web- oder E-Mail-Services anbieten,
verwendet.
Anwenderzertifikate hingegen, dienen der eindeutigen Identifikation
von Anwendern, um z.B. E-Mail zu signieren oder sich an einem Server
anzumelden.
Beginnt ein Menüeintrag mit einem '==', so steht er für die gewählte Funktion nicht zur Verfügung. Wird ein Menüeintrag mit einem '>' markiert, so kennzeichnet dies üblicherweise den nächsten, auszuführenden Prozessschritt. Ein mit einem 'ઙ' markierter Menüpunkt hingegen kennzeichnet einen bereits abgeschlossenen Prozessschritt.
Um eigene, selbst signierte Zertifikate erstellen und verwenden zu können, müssen als erstes ein Schlüssel und ein Zertifikat erstellt werden, welche zur Identifikation der eigenen Zertifizierungsstelle (CA) dienen. Das erstellte Zertifikat wird anschließend verwendet, um jedes weitere Server- bzw. Anwenderzertifikat zu signieren, d.h. zu bestätigen, dass es sich hierbei um ein gültiges Zertifikat im eigenen Netzwerk handelt. Diese Zertifikat dient NIEMALS selbst zur Identifikation eines Servers!
Um es später einem Webbrowser oder anderer Software, die eine verschlüsselte Verbindung zum eisfair-Server aufbauen möchte, zu ermöglichen, die erstellten Zertifikate prüfen zu können, ist es darüber hinaus erforderlich dieses CA-Zertifikat in die Zertifikatsspeicher der Geräte oder Programme zu importieren.
Ein CA-Zertifikat ist üblicherweise 10 Jahre lang gültig und kann während dieser Zeit verwendet werden um andere Zertifikate zu unterzeichnen. Das bei der Erstellung des CA-Schlüssels vergebene Kennwort ist an einem sicheren Ort aufzuheben, da es nur nach Eingabe dieses Kennwortes möglich ist ein anderes Zertifikat zu unterzeichnen.
Um ein CA-Zertifikat zu erstellen, sind die folgenden Schritte auszuführen. Wird einer dieser Schritte nicht erfolgreich abgeschlossen, so führt dies zwangsläufig zu einem Folgefehler bei den nachfolgenden Schritten.
| 1. | Erstellen einer einmaligen Schlüsseldatei (KEY). |
| 2. | Erstellen und Signieren des eigenen CA-Zertifikats (CRT). |
| 3. | Kopieren der Zertifikatsdatei in den Zertifikatsordner. |
Folgende Informationen gilt es vorab zusammen zu tragen, da diese im Laufe der CA-Zertifikatserstellung abgefragt werden:
| 1. | Welches Kennwort soll zur Verschlüsselung des CA-Schlüssels verwendet werden? Dieses Kennwort wird benötigt, um eine Zertifikatsanfrage zu unterzeichnen und muss unbedingt geheim gehalten werden, da sonst Dritte in der Lage wären Zertifikate mit diesem CA-Zertifikat zu unterzeichnen! |
| 2. | Das Land, das Bundesland und der Ort in welchem die
Zertifizierungstelle betrieben wird.
Beispiel: DE (Deutschland), Nordrhein Westfalen, Koeln |
| 3. | Die Organisation bzw. Organisationseinheit welche sich für
die Zertifizierungsstelle verantwortlich zeichnet.
Beispiel: eisfair CA, My eisfair Certificate Authority |
| 4. | Der Name des Administrators der Zertifizierungsstelle (Dein
Name?)
Beispiel: Tom Johnes |
| 5. | Optional die E-Mail-Adresse des Administrator, der
kontaktiert werden soll wenn es Fragen zum CA-Zertifikat
oder einem von dieser Zertifizierungsstelle unterzeichnetem
Zertifikat gibt.
Beispiel: admin@local.lan |
| 1. | Über setup ⇒ Service Administration ⇒ Certs
service ⇒ Manage certificates startet man das Programm
zur Zertifikatserstellung:
| ||||
| 2. | Über den Menüpunkt '1' wählt man durch Auswahl von '1'
die Funktion 'Certificate Authority (CA)' aus.
| ||||
| 3. | Anschließend erstellt man über den Menüpunkt '3' einen
neuen CA-Schlüssel mit der in der Überschrift des
Menüabsatzes angezeigten Stärke von 2048 Bit (Durch
Drücken von 'b' kann diese Einstellung bei Bedarf zuvor
angepasst werde) und vergibt das in der Einleitung
angesprochene Kennwort welches zukünftig beim Signieren
von erstellten Zertifikaten eingegeben werden muss.
| ||||
| 4. | Nun wählt man den Menüpunkt '4' um das selbst signierte
CA-Zertifikat zu erstellen. Alle für das Zertifikat
entscheidenden Informationen, welche man anfangs zusammen
getragen hat, werden nun eingegeben. Folgende Besonderheiten
gilt es zu beachten:
| ||||
| 5. | Über den Menüpunkt '5', wird im Anschluss das erzeugte
CA-Zertifikat in das korrekte Serververzeichnis kopieren.
| ||||
| 6. | Damit ein Webbrowser bzw. Klientenrechner die von
dieser Zertifizierungsstelle erzeugten Zertifikatsdateien
überprüfen kann, sendet man sich das CA-Zertifikat bei
Bedarf über die E-Mail-Funktion, welche im Hauptmenü
durch Drücken von 'e' aufgerufen wird, zu und kopiert es
anschließend auf den gewünschten Klientenrechner.
Beim Import des CA-Zertifikats in den Zertifikatsspeicher des gewünschten Webbrowsers gilt es final noch die angezeigten Verwendungszwecke zu bestätigen.
|
Wie zuvor bereits geschrieben, identifiziert ein Serverzertifikat einen einzelnen Server, jedoch nicht die einzelnen Services, wie z.B. einen Web- oder E-Mail-Services, auf einem Server. Deshalb reicht es üblicherweise aus ein einziges Zertifikat auszustellen, auf welches dann entsprechend den Anforderungen referenziert wird.
Um ein Zertifikat zu erstellen, ist eine immer gleiche Abfolge von Schritten auszuführen. Wird einer dieser Schritte nicht erfolgreich abgeschlossen, so führt dies zwangsläufig zu einem Folgefehler bei den nachfolgenden Schritten.
Die auszuführenden Schritte lauten wie folgt:
| 1. | Erstellen einer einmaligen Schlüsseldatei (KEY). |
| 2. | Erstellen einer Zertifikatsanforderung (CSR). |
| 3. | Signieren der Zertifikatsanforderung mit dem CA-Zertifikat (CRT). |
| 4. | Erstellen der Diffie-Hellman Parameter. |
| 5. | Erstellen einer vollständigen Zertifikatsdatei und das Kopieren der Datei in den Zertifikatsordner. |
Am Beispiel der Zertifikatserstellung für einen eisfair-Server, auf dem ein Web- und E-Mail-Server installiert sind, sollen die notwendigen Schritte nun veranschaulicht werden.
Folgende Informationen gilt es vorab zusammen zu tragen, da diese bei der Zertifikatserstellung abgefragt werden:
| 1. | Wie lautet das ursprünglich festgelegte Kennwort des CA-Zertifikates? Diese wird benötigt, um eine Zertifikatsanfrage zu unterzeichnen und muss unbedingt geheim gehalten werden, da sonst Dritte in der Lage wären eigene Zertifikate mit diesem CA-Zertifikat zu unterzeichnen! |
| 2. | Das Land, das Bundesland und der Ort in welchem der
Server betrieben wird.
Beispiel: DE (Deutschland), Nordrhein Westfalen, Koeln |
| 3. | Die Organisation bzw. Organisationseinheit welche
sich für den eisfair-Server verantwortlich zeichnet.
Beispiel: privat, eisfair-Server |
| 4. | Der DNS-Name bzw. die DNS-Namen über welche auf den eisfair-Server zugegriffen werden soll. Dies ist üblicherweise der Name den ich z.B. in die Adresszeile des Webbrowsers eingebe. Beispiel: mein-eisfair.local.lan |
| 5. | Optional die E-Mail-Adresse des Administrator, der kontaktiert werden soll wenn es Fragen zum Zertifikat zu klären gilt. Beispiel: postmaster@local.lan |
| 1. | Über setup ⇒ Service Administration ⇒ Certs service
⇒ Manage certificates startet man das Programm zur
Zertifikatserstellung:
| ||||||||
| 2. | Über den Menüpunkt '2' wählt man durch Drücken von
'n' aus, dass ein neues Zertifikat erstellt werden
soll und gibt anschließend den primären DNS-Namen
als Zertifikatsnamen ein. Dies hat den Vorteil, dass
man das Zertifikat später jederzeit dem richtigen
Server zuordnen kann.
| ||||||||
| 3. | Nun erstellt man über den Menüpunkt '10' und durch
Drücken von 'n', einen neuen Schlüssel mit der in
der Überschrift des Menüabsatzes angezeigten Stärke
von 2048 Bit (Durch Drücken von 'b' kann diese
Einstellung bei Bedarf zuvor angepasst werde). Der
standardmäßig verwendete Dateiname sollte möglichst
beibehalten werden.
| ||||||||
| 4. | Anschließend wählt man den Menüpunkt '11' um eine
Zertifikatsanforderung zu erstellen. Alle für das
Zertifikat entscheidenden Informationen, welche man
anfangs zusammen getragen hat, werden nun eingegeben.
Folgende Besonderheiten gilt es zu beachten:
| ||||||||
| 5. | Danach wählt man den Menüpunkt '12' aus, um die
zuvor erstellte Zertifikatsanforderung zu unterzeichnen,
d.h. zu bestätigen, dass dies ein gültiges Zertifikat
im eigenen kleinen Netzwerk ist.
Falls man aufgefordert werden sollte die Zertifikatsdatenbank zu aktualisieren sollte man dies bestätigen, um sicher zu stellen, dass diese den korrekten Status (gültig, abgelaufen, widerrufen) aller bisher generierten Zertifikate enthält. Hier muss zum ersten Mal das geheime Kennwort des CA-Schlüssels eingegeben werden!
Im Anschluss werden die wichtigsten Details der Zertifikatsanfrage am Bildschirm angezeigt. Dazu gehören der verwendete Schlüsseltyp, dessen Stärke (z.B. 2048 Bit), die Adress- und Verwendungsdaten, sowie der bzw. die DNS-Namen (Common Name) des Servers. Da im Beispiel nur ein DNS-Name eingegeben wurde, wird logischerweise auch nur ein Name angezeigt.
| ||||||||
| 6. | Nachdem die Zertifikatsanforderung unterschrieben
wurde, folgt nun die Generierung der Diffie-Hellmann
Parameter, welche für den sicheren Schlüsselaustausch
beim Zugriff auf einen Dienst benötigt werden, indem
man den Menüpunkt '13' anwählt.
| ||||||||
| 7. | Über den Menüpunkt '14', werden im Anschluss die
zuvor erzeugten Zertifikatskomponenten in ein gemeinsame
Zertifikatsdatei zusammengeführt und in das korrekte
Serververzeichnis kopieren.
| ||||||||
| 8. | Da viele Webbrowser Zertifikatsdateien nicht im PEM-Format
importieren können wird nun über den Menüpunkt '15' eine
Zertifikatsdatei im PKSC#12-Format erzeugt und mittels eines
Export-Kennwortes gesichert.
Die Zertifikatsdateien kann man sich bei Bedarf über die E-Mail-Funktion, welche im Hauptmenü durch Drücken von 'e' aufgerufen werden kann, zusenden und dann auf den gewünschten Klientenrechner kopieren. Beim Import in den Zertifikatsspeicher des gewünschten Webbrowsers muss das beim Export festgelegte Kennwort eingegeben werden.
| ||||||||
| 9. | Damit Web- und E-Mail-Server nun das erzeugte Zertifikat
verwenden können, müssen abschließend, durch Aufruf
des Menüpunktes '16', symbolische Links angelegt werden,
die auf die Zertifikatsdatei verweisen.
Der Apache2-Webserver sucht z.B. standardmäßig nach einer Zertifikatsdatei mit dem Namen 'apache.pem', der Exim E-Mail-Server hingegen verwendet standardmäßig die Dateinamen, 'imapd.pem', 'ipop3d.pem' und exim.pem' um eine Zertifikatsdatei zu laden, abhängig von dem angesprochenen Programmmodul.
Durch Auswahl der Unterpunkte '1' bzw. '3' kann man dann die benötigten symbolischen Links anlegen. Zur Bestätigung wird anschließend der Verweis auf die Zertifikatsdatei hinter den entsprechenden Dateinamen angezeigt (-> mein-eisfair.local.lan).
|
Will man ein Zertifikat widerrufen, so geht man wie folgt vor.
ACHTUNG
Einmal widerrufende Zertifikate kann und sollte man normalerweise nicht wieder reaktivieren.
| 1 | Über den Menüpunkt 1 wählt man den Key-Typ 1 'Certificate Authority (CA)' aus. |
| 2 | Über den Menüpunkt 7 'revoke a certificate' ruft man die Widerrufsfunktion auf. |
| 3 | Aus der angezeigten Liste der vorhandenen Zertifikate wählt man das zu widerrufende Zertifikat, durch Eingabe der vorangestellten Ziffer, aus. |
| 4 | Aus der angezeigten Liste der Widerrufsgründe wählt man den zu verwendenden Grund für den Widerruf aus. |
| 5 | Den Widerruf des Zertifikats muss man nun noch durch Eingabe des CA-Schlüssel Kennwortes bestätigen. |
| 6 | Danach wird man gefragt, ob auch gleich die Widerrufsliste aktualisiert werden soll. Beantwortet man die Abfrage 'Update revocation list' mit 'yes', so wird nach erneuter Eingabe des CA-Schlüssel Kennwortes die Widerrufsliste aktualisiert. |
Will man die Liste der widerrufenden Zertifikate aktualisieren, so geht man wie folgt vor:
| 1 | Über den Menüpunkt 1 wählt man den Key-Typ 1 'Certificate Authority (CA)' aus. |
| 2 | Über den Menüpunkt 8 'update revocation list' ruft man die Funktion zur Aktualisierung der Widerrufsliste auf. |
| 3 | Danach wird man gefragt, ob die Widerrufsliste wirklich aktualisiert werden soll. Beantwortet man die Abfrage 'Update revocation list' mit 'Y'es, so wird man noch nach der gewünschten Gültigkeitsdauer der CRL und dem CA-Schlüssel Kennwort gefragt. Wurden diese eingegeben, so wird die Widerrufsliste aktualisiert. |
Einmal im Jahr kommt der Zeitpunkt, dass z.B. das Mail-Paket ein auslaufendes SSL-Zertifikat
meldet. Spätestens dann überlegt man, wie man dieses im Vorjahr aktualisiert hat.
In dieser Beschreibung wird davon ausgegangen, dass ein Mail-Paket auf dem Server mit dem
Hostnamen 'florence' läuft und dessen Mail-Domainname 'mail.nightingale.de' lautet. Folgende
Schritte müssen hierfür durchgeführt werden:
| 1 | Erst einmal schaut man sich den Inhalt des aktuellen Zertifikates an, um sich
bewusst zu machen, welche Informationen in der Datei enthalten sind bzw. mit welchen
das existierende Zertifikat beantragt wurde. Hierzu gibt man an der Konsole folgenden
Befehl ein und notiert sich die Bildschirmausgaben (man kann diese natürlich auch in
eine Datei schreiben lassen).
openssl x509 -in /usr/local/ssl/certs/mail.nightingale.de.pem
-noout -text
|
| 2 | Dann ruft man im Setup-Menü die folgenden Menüpunkte auf um in die
Zertifikatsverwaltung zu gelangen:
-> Service administration
-> Certs Service
-> Manage certificates
|
| 2.1 | Dort angelangt wählt man den Menüpunkt 1 (change/set key type) und selektiert Punkt 2 (Client/server certificate). |
| 2.2 | Anschließend wählt man den Menüpunk 2 (change/set certificate name) und gibt den
Domainnamen des Servers ein, für den ein Zertifikat erneuert werden soll:
Eingabe: mail.nightingale.de |
| 2.3 | Im folgenden Schritt wählt man über den Menüpunkt '10', 'select existing key' aus und selektiert aus der angezeigten Schlüsselliste die Datei 'florence.key'. |
| 2.4 | Nach diesen Vorbereitungen muss nun der vom Vorjahr bereits existierende
Zertifikatsanforderung mit dem CA-Schlüssel signiert werden. Hierzu wählt man den Punkt 12
(sign certificate request with CA key) und folgt den Bildschirmausgaben. Nun gilt
es nur noch eine Entscheidung zu treffen, ob man ein Server- (Server usage) oder
ein Anwenderzertifikat für z.B. S/MIME (Client usage) erstellen möchte und schon
hat ein ein aktualisiertes Zertifikat erstellt.
-> The certificate /usr/local/ssl/newcerts/mail.nightingale.de.crt
has already been signed, proceed anyway (y/N):
Eingabe: y (yes)
Eingabe: Enter
-> Using configuration from /usr/local/ssl/openssl.cnf
Enter pass phrase for /usr/local/ssl/private/ca.key:
Eingabe: geheimes CA Kennwort
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName :PRINTABLE:'DE'
stateOrProvinceName :PRINTABLE:'Nordrhein Westfalen'
localityName :PRINTABLE:'Duesseldorf'
organizationName :PRINTABLE:'Guru Mail Admin'
organizationalUnitName:PRINTABLE:'My Email Services'
commonName :PRINTABLE:'mail.nightingale.de'
Certificate is to be certified until Oct 26 19:52:11 2007 GMT (365 days)
Sign the certificate? [y/n]:
Eingabe: y (yes)
1 out of 1 certificate requests certified, commit? [y/n]
Eingabe: y (yes)
Write out database with 1 new entries
Data Base Updated
/usr/local/ssl/newcerts/mail.nightingale.de.crt: OK
|
| 2.5 | Nach der erfolgreichen Unterzeichnung des Zertifikates muss noch über den Menüpunkt 13 ein 'Diffie-Hellman Parameter' generiert werden, falls dieser nicht schon existiert. |
| 2.6 | Abschließend wird das Zertifikat mittels des Menüpunktes 14 in eine
.pem-Datei umgewandelt, in das Zertifikatsverzeichnis kopiert und die Hashwerte
aktualisiert:
-> create .pem certificate and copy it to /usr/local/ssl/certs - done.
-> The certificate /usr/local/ssl/certs/mail.nightingale.de.pem does
already exist, proceed anyway (y/N)
Eingabe: y (yes)
|
Will man die E-Mail-Übermittlung von und zu seinem Provider über ein TLS-Zertifikat absichern, so muss man sich dieses zuvor von dessen Mail-Server herunterladen und auf seinem eigenen Mail-Server installieren. Am Beispiel einiger bekannter E-Mail-Provider soll dies exemplarisch verdeutlicht werden. Der aufgeführte Befehl wird bei POP3-Servern verwendet, bei IMAP-Servern muss an Stelle von 995 der Port 993 angegeben werden.
web.de: openssl s_client -connect pop3.web.de:995 -showcerts gmx.net: openssl s_client -connect pop.gmx.net:995 -showcertsAus den angezeigten Informationen wird der Datenblock, welcher durch '—–BEGIN CERTIFICATE—–' und '—–END CERTIFICATE—–' gekapselt ist, markiert und in eine Datei mit z.B. dem Namen 'web.de-pop3.pem' kopiert. Die Datei muss dann im Verzeichnis /usr/local/ssl/certs abgelegt werden.
Beispiel:
-----BEGIN CERTIFICATE----- MII[...] -----END CERTIFICATE-----
Für alle Zertifikate muss ein Hash-Schlüssel durch Aufruf von
'/var/install/bin/certs-update-hashes' (Menüpunkt: 1 - certificate folder)
angelegt werden.
Soll eine weitere Zertifikatswiderrufsliste (CRL) automatisch heruntergeladen werden, so muss deren URL zur Datei /usr/local/ssl/certs-update-crl-lists hinzugefügt werden. Danach kann man über den Menüpunkt 'Download revocation list(s)' das Herunterladen der CRLs anstoßen. Automatisiert geschieht dies wenn CERTS_CRL_CRON='yes' gesetzt und ein Intervall über den Parameter CERTS_CRL_CRON_SCHEDULE definiert wurde.
Standardmäßig wird im Verzeichnis /usr/local/ssl/web die Datei x509policy.html
angelegt, welche, bei einem installiertem Apache2-Paket, über die folgende
URL abgerufen werden kann und auf welche in jedem selbst erstelltem Zertifikat
referenziert wird:
http://APACHE2_SERVER_NAME/certs/x509policy.html
Diese Datei enthält erste Hinweise für das Erstellen einer eigenen PKI-Policy,
welches es bei Bedarf zu erstellen gilt.
Über verschiedenste Befehle kann man sich Informationen aus den Zertifikaten anzeigen lassen:
Zertifikat in Textform ausgeben:
openssl x509 -in gmx.net-pop3.pem -noout -textZertifikat-Betreff ausgeben:
openssl x509 -in gmx.net-pop3.pem -noout -subjectZertifikat-Aussteller ausgeben:
openssl x509 -in gmx.net-pop3.pem -noout -issuerZertifikat-Laufzeit ausgeben:
openssl x509 -in gmx.net-pop3.pem -noout -datesMD5-Fingerprint ausgeben:
openssl x509 -in gmx.net-pop3.pem -noout -fingerprint -md5
