OpenSSL-basierte Certificate Authority einrichten

Im Unternehmensumfeld existieren Public-Key-Infrastrukturen (PKI), die beim Ausstellen eines X.509-Zertifikats helfen. Der Aufwand, ein solches Zertifikat zu beziehen, ist allerdings in manchen Fällen recht groß – zum Beispiel, wenn es um das Setup eines Testsystems geht. Hier kann die Ausstellung des Zertifikats unter Umständen mehrere Stunden oder gar Tage in Anspruch nehmen. Mithilfe einer öffentlichen Zertifizierungsstelle wie beispielsweise Let's Encrypt kämen Sie zumindest schnell an ein Domain-validated Certificate (DV). Gegebenenfalls soll das Zertifikat aber nicht auf öffentlichen Listen der Certificate Authority (CA) erscheinen. Zudem lassen sich auch nicht immer sämtliche Anforderungen einer öffentlichen CA umsetzen.

Eine weitere Möglichkeit besteht darin, mittels OpenSSL [1] ein selbstsigniertes Zertifikat auszustellen. Dies führt allerdings auf den Clientsystemen zu Fehlern, da diese das Zertifikat nicht validieren können. Daher ist es hilfreich, wenn Ihre Testumgebung über eine eigene CA verfügt. Im Folgenden zeigen wir den Aufbau einer einfachen OpenSSL-basierten CA. Das Framework ist auf nahezu sämtlichen Linux-Systemen vorhanden und das Setup geht zudem schnell von der Hand.

Zertifizierungsstelle installieren

Um die Installation möglichst einfach zu halten, konfigurieren wir auf einem Linux-System eine einzelne CA-Instanz, die sich dann auch um die Ausstellung der Zertifikate für die Zielsysteme beziehungsweise Endbenutzer kümmert. Üblicherweise ist jedoch zumindest noch eine weitere Zertifizierungsstelle als sogenannte Intermediate-CA zwischengeschaltet.

Listing 1 enthält das Shellskript "setup-ca.sh", mit dem Sie die CA installieren. Dieses erzeugt zuerst die benötigte Verzeichnisstruktur mit den korrekten Berechtigungen und anschließend den privaten und öffentlichen Schlüssel für die CA. Hierzu kommt die

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.