Win32 OpenSSL praktischer Einsatz

Version: Autor: Zuletzt geändert: 2016-07-26 02:06:27

In einem anderen Beitrag habe ich gezeigt, wie Sie Win32 OpenSSL installieren und einrichten. Hier erkläre ich den praktischen Einsatz von Win32 OpenSSL anhand eines Beispiels.

Praktischer Einsatz

Starten Sie Win32 OpenSSL von der Kommandozeile (cmd.exe). Dazu wechseln Sie in das Installationsverzeichnis c:\OpenSSL (lt. Anleitung oben). Sollten Sie einen anderen Installationsort verwendet haben, ist die Eingabe entsprechend anzupassen:

c:\OpenSSL\bin\openssl.exe

1. Private Key erstellen

Zuerst erstellen wir einen privaten Schlüssel mit einer Länge von 4096 Bit. Damit sich der Schlüssel bzw. die in Folge erstellten Dateien eindeutig zuordnen lassen, füge ich den Domain-/Hostname an den Namen der erstellten Dateien an. In diesem Beispiel erstelle ich Key und CSR für die Domain example.com.

Ebenfalls hat sich die Angabe des Datums der Erstellungan den Dateinamen bewährt. Gespeichert werden die Dateien in dem zuvor erstellten Ordner c:\OpenSSL-Data.

Daraus ergibt sich folgender Befehl:

genrsa -out c:\OpenSSL-Data\example.com-2016-04.key 4096

openssl-win32-12

2. Submit Certificate Request (CSR) erstellen

Das CSR enthält alle relevanten Angaben zum Zertifikatsinhaber und zum Domain-/Hostnamen, für den das Zertifikat gültig sein soll. Wichtig dabei ist die Angabe Common Name: Soll das Zertifikat zur Verbindungsverschlüsselung (SSL, TLS, STARTTLS, HTTPS) eingesetzt werden (Web-/FTP-/Mailserver), ist hier der Domain-/Hostname anzugeben.

Bezugnehmend zu den Pfadangaben oben, setzt sich der dafür notwendige Befehl folgend zusammen:

req -new -key c:\OpenSSL-Data\example.com-2016-04.key -out c:\OpenSSL-Data\example.com-2016-04.csr

openssl-win32-13

3. Selbstsigniertes Zertifikat erstellen

Mit dem erstellten Private Key und dem CSR können wir ein selbstsigniertes Zertifikat mit einer Gültigkeit von einem Jahr (oder länger) erstellen:

req -new -x509 -key c:\OpenSSL-Data\example.com-2016-04.key -out c:\OpenSSL-Data\example.com-2016-04.crt -days 365

openssl-win32-16

 

4. Root CA Certificate

Da wir in diesem Beispiel als eigene CA fungieren, wird ein sog. Root CA Certificate benötigt. Zu den obligatorischen Angaben muss zusätzlich eine Gültigkeitsdauer (in Tagen) angegeben werden. Ich bezeichne das Root Certificate mit ca.crt. Zuerst wird ein eigener Key erstellt, danach das Cert:

genrsa -out c:\OpenSSL-Data\ca.key 4096
req -new -x509 -days 3650 -key c:\OpenSSL-Data\ca.key -out c:\OpenSSL-Data\ca.crt

Durch diese Angaben wird ein Root CA Certificate mit einer Gültigkeit von 10 Jahren erstellt.

openssl-win32-15

 

 

 

Top