Idealerweise SSL Zertifikate werden von öffentlich vertrauenswürdigen Zertifizierungsstellen ausgestellt (z. B. Let’s Encrypt , Comodo , Verisign ) zur Bereitstellung von Authentifizierung und Verschlüsselung im Internet. Sie können jedoch ein SSL-Zertifikat erhalten, ohne eine Zertifizierungsstelle eines Drittanbieters zu durchlaufen – dies wird als selbstsigniertes Zertifikat bezeichnet.
In dieser Anleitung wird beschrieben, wie Sie mithilfe von OpenSSL ein selbstsigniertes SSL-Zertifikat generieren unter Linux. OpenSSL ist eine Open-Source-Softwarebibliothek, die zur Implementierung sicherer Kommunikation im Internet verwendet wird.
So installieren Sie OpenSSL unter Linux
OpenSSL kommt auf großen Linux-Distributionen vorinstalliert und Sie können bestätigen, dass OpenSSL wird mit dem folgenden Befehl auf Ihrem Linux-Rechner installiert.
$ openssl version
Sie sollten eine Ausgabe mit OpenSSL sehen Versionsinformationen ähnlich wie in der Abbildung unten gezeigt. Ich verwende Ubuntu Linux 20.04 .
Wenn OpenSSL nicht installiert ist, können Sie den folgenden Befehl ausführen, um OpenSSL zu installieren unter Linux.
$ sudo apt install openssl [On Debian/Ubuntu/Mint] $ sudo yum install openssl [On RHEL/CentOS/Fedora]
Generieren Sie selbstsignierte SSL-Zertifikate mit OpenSSL
Sobald Sie bestätigt haben, dass die openssl Tool installiert ist, können Sie nun Ihr selbstsigniertes Zertifikat wie folgt generieren.
Generieren Sie den privaten OpenSSL-Schlüssel
Führen Sie zunächst den folgenden Befehl aus, um Ihren privaten Schlüssel zu generieren und zu speichern, der zum Signieren des SSL-Zertifikats verwendet wird. Anstelle von ubuntu_server können Sie alles verwenden .
$ openssl genrsa -out ubuntu_server.key
Ihr privater Schlüssel wird im aktuellen Arbeitsverzeichnis gespeichert.
Zertifikatsignierungsanforderung generieren
Generieren Sie als Nächstes eine Zertifikatsignierungsanforderung (CSR ) mit dem folgenden Befehl. Beachten Sie, dass Sie den korrekten Namen des privaten Schlüssels angeben müssen, den Sie zuvor generiert haben.
$ openssl req -new -key ubuntu_server.key -out ubuntu_server.csr
Während des Generierens eines CSR , werden Sie aufgefordert, einige Informationen anzugeben, die Ihrer Zertifikatsignaturanforderung zugeordnet werden. Die CSR wird im aktuellen Arbeitsverzeichnis gespeichert.
Hinweis :Sie können einige Felder leer lassen. Beispielsweise die Felder unter „extra ’-Attribute können leer gelassen werden, indem Sie die Eingabetaste auf der Tastatur drücken.
Nachdem die CSR erfolgreich abgeschlossen wurde, können Sie Ihr Zertifikat selbst signieren.
Signieren Sie Ihr Zertifikat selbst
Führen Sie den folgenden Befehl aus, um ein selbstsigniertes Zertifikat anzufordern, das für 365 gültig ist Tage. Das x509 Option bezieht sich auf X.509 internationaler Standard zum Erstellen und Verifizieren von Public-Key-Zertifikaten. Denken Sie daran, ubuntu_server zu ersetzen nach Bedarf.
$ openssl x509 -req -days 365 -in ubuntu_server.csr -signkey ubuntu_server.key -out ubuntu_server.crt
Ihr selbstsigniertes Zertifikat wird im aktuellen Arbeitsverzeichnis gespeichert und Sie können dies bestätigen, indem Sie den Befehl ls ausführen.
$ ls
Außerdem können Sie die Zertifikatsdetails mit dem folgenden Befehl überprüfen.
$ openssl x509 -text -noout -in ubuntu_server.crt
An diesem Punkt kann Ihr selbstsigniertes Zertifikat für Ihre Web-Apps oder Websites bereitgestellt werden.
Schlussfolgerung
In dieser Anleitung haben wir beschrieben, wie Sie selbstsignierte SSL-Zertifikate mit dem Openssl-Tool unter Linux generieren. Beachten Sie, dass selbstsignierte Zertifikate von allen gängigen Webbrowsern als unsicher angesehen werden. Daher sollten Sie solche Zertifikate wahrscheinlich nur intern oder zu Test- und Entwicklungszwecken verwenden.