Zertifikatsmanagement mit Certmonger

Mit höchster Auszeichnung

Zertifikate werden dazu verwendet, um Benutzer, Services und Hardware mit der Hilfe eines signierten Schlüssels zu verifizieren. Hierfür existieren Public-Key-Infrastrukturen (PKI). Aber wie gelangen die Zertifikate eigentlich auf das Ziel-Gerät? Der Open-Source-Tipp in diesem Monat beschreibt, wie Sie für diese Aufgabe das Tool certmonger verwenden können.
Den Schutz vor Angreifern und Malware hat sich IT-Administrator im März auf die Fahnen geschrieben. So lesen Sie in der Ausgabe, mit welchen Handgriffen Sie ... (mehr)

X.509-Zertifikate [1] bestehen aus einem öffentlichen und einem privaten Schlüssel. Erzeugen Sie eine Zertifikatsanfrage, signieren Sie sie mit dem privaten Schlüssel. Die Datei mit der Zertifikatsanfrage senden Sie dann zur Validierung an eine Certificate Authority (CA) . Wird die Anfrage genehmigt, erhalten Sie einen öffentlichen Schlüssel – das eigentliche Zertifikat –, das Informationen über den Antragsteller beziehungsweise die Appliance oder den Dienst sowie die CA selbst enthält.

Ein Duplikat erzeugen

Mittels OpenSSL, das auf jeder Linux-Distribution verfügbar ist, lässt sich der Vorgang recht einfach nachvollziehen. Zuerst erzeugen Sie einen privaten Schlüssel mit der gewünschten Schlüssellänge:

 

Bei Bedarf lässt sich der Schlüssel mit einer der Optionen "-des, "-des3" oder "-idea" verschlüsseln, sodass beim Zugriff auf den Schlüssel erst das vergebene Passwort abgefragt wird.

Wer sich für Mathematik interessiert, kann sich die von OpenSSL erzeugten Zahlenkomponenten mit dem folgenden Kommando ansehen:

 

Die Zertifikatsanfrage erzeugen Sie ebenfalls mit einem OpenSSL-Kommando:

 

Das OpenSSL-Kommando "req" bietet sehr viele Optionen und fragt die Informationen, die in das Zertifikat aufgenommen werden sollen, interaktiv ab. Hier wird beispielsweise ein SHA-256-Digest festgelegt. Alternativ lässt sich mit der Option "-config" eine Konfigurationsdatei angeben. Beispielsweise könnten in dieser Datei Profile für unterschiedliche Zertifikatstypen liegen.

Das steht in der Zertifikatsdatei

Haben Sie die Zertifikatsanfrage von einer CA bestätigt bekommen, können Sie sich die Zertifikatsdatei mit Hilfe von Open­SSL ansehen:

 

comments powered by Disqus

Artikel der Woche

Setup eines Kubernetes-Clusters mit Kops

Vor allem für Testinstallationen von Kubernetes gibt es einige Lösungen wie Kubeadm und Minikube. Für das Setup eines Kubernetes-Clusters in Cloud-Umgebungen hat sich Kops als Mittel der Wahl bewährt. Wir beschreiben seine Fähigkeiten und geben eine Anleitung für den praktischen Einsatz. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite