Hallo zusammen,
ich muss lernen via openSSL-Kommndozeile Zertifikate zu erstellen. Mit Windows Tools wie XCA ist das alles kein Problem:
- Root-Zertifikat + Root-Key erstellen
- Client-Zertifikat + Key erstellen und es mit dem Root-Zertifikat signieren
Auf Kommandozeile scheint man für diese beiden klicks in dem Tool aber mehr machen zu müssen, und dann blicke ich nicht mehr durch.
Wozu brauche ich diese Request?!
Ich mache folgendes:
openssl genrsa -out rootCA.key 2048
openssl req -new -key rootCA.key -out rootCA.csr
openssl x509 -req -days 3650 -in rootCA.csr -signkey rootCA.key -out rootCA.crt
openssl genrsa -out client.key 2048
openssl req -new -key client.key -out client.csr
openssl x509 -req -days 3650 -in rootCA.csr -signkey rootCA.key -out client.crt
openssl pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -export -in client.crt -inkey rootCA.key -out client1.p12 -name "client1"
1. rootCA Key erstellen
2. rootCA Request erstellen
3. rootCA Request und Key zu einem Zertifikat packen
4.
5. client Key erstellen
6. client Request erstellen
und in der Zeile 7. weiß ich nicht genau wie es arbeitet ... ich nahm nach Zeile 3 an, dass Request und Key nun vom rootCA kommen müssen, damit das Zertifikat das raus kommt vom rootCA signiert ist. Scheinbar ist das nicht so. Wenn ich die Zertifikate im XCA importiere erwarte ich die gleiche Darstellung/Anordnung als wenn ich diese im Tool selber erstelle, Sprich 2 Schlüssel, dann das rootCA-Zertifikat oben und das client-Zertifikat eine "Ebene tiefer" unter dem rootCA-Zertifikat.
8. Hier konvertiere ich in das .p12-Format.
Kann mir jemand dabei helfen es zu verstehen und Client-Zertifikate von einer CA zu erstellen?