ADMIN-Tipp: Eigene Certificate Authority (CA)

Jede Woche erscheint in unserem Newsletter ein neuer ADMIN-Tipp. Eine Sammlung aller Tipps finden Sie im Archiv der ADMIN-Tipps.

Mit OpenSSL die eigenen Zertifikate zu verwalten, ist umständlich. Einfacher geht es mit einem neuen Tool namens caman.

Das Management eigener SSL/TLS/X.509-Zertifikate und der Betrieb einer eigenen Zertifikatsstelle (Certification Authority, CA) ist mit dem openssl-Befehl zwar möglich, aber recht umständlich. Er setzt die Kenntnis einer Vielzahl von Kommandozeilenschaltern voraus, um beispielsweise ein Root-Zertifikat und anschließend das öffentliche Zertifikat der CA zu erzeugen. Dazu kommt unter Umständen noch die Verwaltung einer Certificate Revocation List, in der der CA-Betreiber nicht mehr gültige Zertifikate auflistet.

Es gibt diverse Möglichkeiten, mit Open-Source-Tools Zertifikate zu verwalten, etwa die PKI-Software Dogtag. Einfacher geht es mit einem grafischen Programm wie TinyCA oder einem neuen Tool namens caman, das ähnlichen Komfort auf der Kommandozeile bietet. So führt nach der Installation respektive dem Herunterladen des Code ein Aufruf von "./caman init" Schritt für Schritt durch die  Einrichtung der Certifice Authority. Auch die Erzeugung eines Intermediate Certificate ist hier möglich. Dass das Root-Zertifikat gut gesichert und am besten auf einem nicht übers Netzwerk erreichbaren Host gespeichert sein muss, versteht sich von selbst. In zwei Konfigurationsdateien sind die üblichen administrativen Angaben für die Zertifikate abgelegt, etwa countryName, organizationName und so weiter.

Einen neuen Host, der ein Zertifikat erhalten soll, legt ein Aufruf von "./caman new" an. Das Zertifikat selbst wird mit Hilfe von "./caman sign" erzeugt. Widerrufen kann es der CA-Admin mit "./caman revoke". Die Widerrufsliste muss der Administrator anschließend über den Webserver neu publizieren.

Der Code und eine ausführliche Anleitung sind im Github-Repository von caman zu finden.

28.09.2015
PKI , TLS

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Loadtests ohne Server

Für Loadtests der eigenen Server bietet sich die Cloud an, denn kurz getaktet lassen sich dort viele Rechnerinstanzen starten, die das eigene Budget nur wenig belasten. Noch flexibler, günstiger und besser skalierbar sind Tests mit einer Serverless-Infrastruktur wie AWS Lambda. Wir führen vor, wie Sie dort mit Serverless Artillery eigene Loadtests starten. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018