Kunden-bereitgestellte Zertifikate (CA mit Zertifikaten)

An dieser Stelle wird mittels OpenSSL Zertifikate erzeugt, die für die Secure ADS Verbindung genutzt werden können.

Diese Anleitung stellt keine umfassende Beratung zur Erstellung und Umgang mit Zertifikaten dar. Insbesondere die Laufzeiten müssen beachtet werden, welches organisatorische Maßnahmen erfordert um vor Ablauf der Gültigkeiten (hier: 3600 Tage für die CA und 360 Tage für die jeweiligen Zertifikate) für einen Austausch zu sorgen.

In diesem Beispiel wird eine Certificate Authority (CA) erzeugt, die für beide Seiten (hier IPC und CX genannt) der Kommunikation ein Zertifikat unterschreibt.

Die Bedeutung der Aufrufparameter kann im Detail durch „openssl help“ nachgesehen werden.

  • OpenSSL ist installiert und als verfügbar von der Kommandozeile.
1. Erzeugen eines Schlüssels für die Certificate Authority, der später vertraut wird.
openssl genrsa -out rootCA.key 2048
2. Erzeugen des Zertifikats mit einer Laufzeit von 3600 Tagen. Über den Parameter „-subj“ werden Inhaberinformationen beigesteuert.
openssl req -x509 -new -nodes -key rootCA.key -sha256 -subj "/C=DE/ST=NRW/L=Verl/O=Bk/OU=TCPM/CN=RootCA" -days 3600 -out rootCA.pem
3. Erzeugen eines Schlüssels für den IPC
openssl genrsa -out ipc.key 2048
4. Erzeugen eines Certificate Signing Requests (CSR) für diesen Schlüssel:
Bitte beachten: Die als CN angegebene Adresse (hier IP Adresse) muss als Namen beim Verbindungsaufbau verwendet werden. Alternativ muss die Route mit IgnoreCN parametriert warden.
openssl req -out ipc.csr -key ipc.key -subj "/C=DE/ST=NRW/L=Verl/O=Bk/OU=TCPM/CN=192.168.2.1" –new
5. Signieren des CSR des IPC mit der CA mit Gültigkeit von 360 Tagen
openssl x509 -req -in ipc.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out ipc.crt -days 360 -sha256
  • Mittels dieser Dateien kann die Route nun auf dem IPC eingerichtet werden: rootCA.pem, ipc.key und ipc.pem
6. Erzeugen eines Schlüssels für den CX
openssl genrsa -out cx.key 2048
7. Erzeugen eines Certificate Signing Requests (CSR) für diesen Schlüssel:
Bitte beachten: Die als CN angegebene Adresse (hier IP Adresse) muss als Namen beim Verbindungsaufbau verwendet werden. Alternativ muss die Route mit IgnoreCN parametriert warden.
openssl req -out cx.csr -key cx.key -subj "/C=DE/ST=NRW/L=Verl/O=Bk/OU=TCPM/CN=192.168.2.2" –new
8. Signieren des CSR des IPC mit der CA mit Gültigkeit von 360 Tagen
openssl x509 -req -in cx.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out cx.crt -days 360 -sha256
  • Mittels dieser Dateien kann die Route nun auf dem CX eingerichtet werden: rootCA.pem, cx.key und cx.pem
  • Die Route kann genutzt werden.