ADMIN-Tipp: Eigene Certificate Authority (CA)

Jede Woche erscheint in unserem Newsletter ein neuer ADMIN-Tipp. Eine Sammlung aller Tipps finden Sie im Archiv der ADMIN-Tipps.

Mit OpenSSL die eigenen Zertifikate zu verwalten, ist umständlich. Einfacher geht es mit einem neuen Tool namens caman.

Das Management eigener SSL/TLS/X.509-Zertifikate und der Betrieb einer eigenen Zertifikatsstelle (Certification Authority, CA) ist mit dem openssl-Befehl zwar möglich, aber recht umständlich. Er setzt die Kenntnis einer Vielzahl von Kommandozeilenschaltern voraus, um beispielsweise ein Root-Zertifikat und anschließend das öffentliche Zertifikat der CA zu erzeugen. Dazu kommt unter Umständen noch die Verwaltung einer Certificate Revocation List, in der der CA-Betreiber nicht mehr gültige Zertifikate auflistet.

Es gibt diverse Möglichkeiten, mit Open-Source-Tools Zertifikate zu verwalten, etwa die PKI-Software Dogtag. Einfacher geht es mit einem grafischen Programm wie TinyCA oder einem neuen Tool namens caman, das ähnlichen Komfort auf der Kommandozeile bietet. So führt nach der Installation respektive dem Herunterladen des Code ein Aufruf von "./caman init" Schritt für Schritt durch die  Einrichtung der Certifice Authority. Auch die Erzeugung eines Intermediate Certificate ist hier möglich. Dass das Root-Zertifikat gut gesichert und am besten auf einem nicht übers Netzwerk erreichbaren Host gespeichert sein muss, versteht sich von selbst. In zwei Konfigurationsdateien sind die üblichen administrativen Angaben für die Zertifikate abgelegt, etwa countryName, organizationName und so weiter.

Einen neuen Host, der ein Zertifikat erhalten soll, legt ein Aufruf von "./caman new" an. Das Zertifikat selbst wird mit Hilfe von "./caman sign" erzeugt. Widerrufen kann es der CA-Admin mit "./caman revoke". Die Widerrufsliste muss der Administrator anschließend über den Webserver neu publizieren.

Der Code und eine ausführliche Anleitung sind im Github-Repository von caman zu finden.

28.09.2015
PKI , TLS

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Setup eines Kubernetes-Clusters mit Kops

Vor allem für Testinstallationen von Kubernetes gibt es einige Lösungen wie Kubeadm und Minikube. Für das Setup eines Kubernetes-Clusters in Cloud-Umgebungen hat sich Kops als Mittel der Wahl bewährt. Wir beschreiben seine Fähigkeiten und geben eine Anleitung für den praktischen Einsatz. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite