Kostenloses SSL-Zertifikat erstellen – Debian

Einleitung

Nun einige kennen es sicherlich.
Man brauch ein Zertifikat für seine Homepage/Mail-Server, man möchte allerdings
kein Geld für ein teures SSL Zertifikat ausgeben und man möchte kein selbst signiertes
verwenden aufgrund der Warnung die jeder Webbrowser dann ausgeben wird.

Dagegen kann man etwas tun.

StartSSL oder CAcert?

Es gibt viele kostenlose Unternehmen die Zertifikate ausstellen für Lau bzw.
gar nichts, wie z.B. [[startSSL]] oder [[CAcert]].

In diesem Artikel gehe ich näher auf CaCert ein.

Zu aller erst werden wir uns nun auf unseren Root/VPS
per [[SSH]] einloggen und dort einen neuen Ordner erstellen in diesen wir gleich
danach erst einmal navigieren. Ist dies gestehen fahren wir fort.

Einrichtung

Jetzt brauchen wir openSSL. Ist dies noch nicht installiert installieren wir es.

root@localhost:~# apt-get install openssl

Nun erstellen wir einen private key.

root@localhost:~# openssl genrsa -out private.key 2048

Danach erzeugen wir den Certificate Signing Request (CSR).

root@localhost:~# openssl req -new -key private.key -out server.domain.csr

Hier werden wir nach einigen Informationen gefragt. Die wir hier richtig angeben müssen.

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Hesse
Locality Name (eg, city) []:Frankfurt
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Internet Widgits Pty Ltd
Organizational Unit Name (eg, section) []:CA
Common Name (eg, YOUR name) []:server.domain.tld
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Unter Common Name muss die Domäne angegeben werden für welche das spätere [[SSL]]-Zertifikat
eingesetzt werden soll.

Ob ihr ein Passwort dafür setzen wollt ist euch persönlich überlassen.

Sind wir damit durch so registrieren wir uns nun einen Account bei cacert.org.
Ist dieser angelegt müssen wir nun unsere Domäne bei cacert in unser Profil hinzufügen.
Erst dann kann für diese Domäne ein Zertifikat ausgestellt werden.

Als nächstes kopieren wir uns nun den Inhalt aus unserer CSR file herraus und navigieren zu
„Server Certificates“ auf cacert.org.
Dort klicken wir nun auf „New“.

Als nächstes fügen wir aus unserem Zwischenspeicher den Code aus dem CSR in die Textbox hinein.
und senden diese ab.

Nun erhalten wir unser signiertes [[SSL]]-Zertifikat. Welches wir wieder auf unserem System hinterlegen
müssen.
Dateiendung: crt (für Certificate).

Jetzt kann dies eingebunden werden.

Leave a Reply