Jan 26

TLS – Zertifikat erzeugen

[ Geschrieben von Daniel Alburg am 26.01.2009 um 16:55 Uhr ]

TLS ist ein Zertifikat, die für vielen Bereichen Verwendung finden kann. Z.b. für verschlüsselte Webseiten oder für den verschlüsselten Email Verkehr.

Hier wird ein Zertifikat erstellt und selbst signiert. Da wir diesen später in Dovecot + Postfix einfügen, sind wir hier im der Pfadstruktur von Postfix.
Wo Ihr dieses Zertifikat erzeugt ist aber prinzipell egal.

Befehl für Shell/Batch:
mkdir /etc/postfix/tls
cd /etc/postfix/tls

 

Nun erzeugen wir einen privaten RSA Key. In einer 2048Bit Länge

Befehl für Shell/Batch:
openssl genrsa -out mail.key 2048

 

Als nächstes erzeugen wir eine sogannte CSR-Datei (Certificate Signing Request [engl.])
Wichtig hier ist bei der Abfrage bei: Common Name das hier hier eure korrekte Domain eintragt. z.b. webspace-for-you.de oder wenn es über eine Subdomain läuft: pop3s.webspace-for-you.de
Abhängig davon, was Ihr (eure Kunden) als Posteingangsserver / Postausgangsserver eintragen müssen.
Die Passwort-Abfrage lassen wir einfach leer. (Enter)

Befehl für Shell/Batch:
openssl req -new -key mail.key -out mail.csr

 

Zitat:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‚.‘, the field will be left blank.
—–
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Brandenburg
Locality Name (eg, city) []:Lübben
Organization Name (eg, company) [Internet Widgits Pty Ltd]:webspace-for-you Team
Organizational Unit Name (eg, section) []:webspace-for-you Team
Common Name (eg, YOUR name) []:webspace-for-you.de
Email Address []:info@DEINE_EMAIL_ADDY.de

Please enter the following ‚extra‘ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

 

So wie es oben beschrieben worden ist, gilt es immer. Also immer wenn Ihr ein SSL Zertifikat erstellen wollt.
Dieses Zertifikat muß aber noch signiert werden. Hier gibt es 2 Möglichkeiten:
* von ein Trust-Center z.b. PSW(kommerziell, aber ohne Fehlermeldung)
* wir selbst (Kostenfrei, aber Browser und Email-Client werden einmalig einen Fehler anzeigen)

Wir erzeugen nun einen kostenfreies lizensiertes Zertifikat, mit einer Laufzeit (Gültigkeit) von 10 Jahren.

Befehl für Shell/Batch:
openssl x509 -req -days 3650 -in mail.csr -out mail.cert -signkey mail.key

 

create_tls

 

Einen Kommentar schreiben