ADMIN-Tipp: Eigene Certificate Authority (CA)

Jede Woche erscheint in unserem Newsletter ein neuer ADMIN-Tipp. Eine Sammlung aller Tipps finden Sie im Archiv der ADMIN-Tipps.

Mit OpenSSL die eigenen Zertifikate zu verwalten, ist umständlich. Einfacher geht es mit einem neuen Tool namens caman.

Das Management eigener SSL/TLS/X.509-Zertifikate und der Betrieb einer eigenen Zertifikatsstelle (Certification Authority, CA) ist mit dem openssl-Befehl zwar möglich, aber recht umständlich. Er setzt die Kenntnis einer Vielzahl von Kommandozeilenschaltern voraus, um beispielsweise ein Root-Zertifikat und anschließend das öffentliche Zertifikat der CA zu erzeugen. Dazu kommt unter Umständen noch die Verwaltung einer Certificate Revocation List, in der der CA-Betreiber nicht mehr gültige Zertifikate auflistet.

Es gibt diverse Möglichkeiten, mit Open-Source-Tools Zertifikate zu verwalten, etwa die PKI-Software Dogtag . Einfacher geht es mit einem grafischen Programm wie TinyCA oder einem neuen Tool namens caman, das ähnlichen Komfort auf der Kommandozeile bietet. So führt nach der Installation respektive dem Herunterladen des Code ein Aufruf von "./caman init" Schritt für Schritt durch die  Einrichtung der Certifice Authority. Auch die Erzeugung eines Intermediate Certificate ist hier möglich. Dass das Root-Zertifikat gut gesichert und am besten auf einem nicht übers Netzwerk erreichbaren Host gespeichert sein muss, versteht sich von selbst. In zwei Konfigurationsdateien sind die üblichen administrativen Angaben für die Zertifikate abgelegt, etwa countryName, organizationName und so weiter.

Einen neuen Host, der ein Zertifikat erhalten soll, legt ein Aufruf von "./caman new" an. Das Zertifikat selbst wird mit Hilfe von "./caman sign" erzeugt. Widerrufen kann es der CA-Admin mit "./caman revoke". Die Widerrufsliste muss der Administrator anschließend über den Webserver neu publizieren.

Der Code und eine ausführliche Anleitung sind im Github-Repository von caman zu finden.

28.09.2015
PKI , TLS

Ähnliche Artikel

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023