MBCDN

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: guacamole configuration_management ipv4 ip searx cgroups
ca

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung 		Vorhergehende Überarbeitung
ca [2025/04/12 10:47]
jango 		ca [2025/06/01 01:36] (aktuell)
jango [Test OCSP]
Zeile 3: Zeile 3:
 =====1-Tier with CRL===== =====1-Tier with CRL=====
  
 +Einfache 1-Tier Root CA mit [[CRL]]
 ====Initialize Root CA==== ====Initialize Root CA====
 <code bash> <code bash>
Zeile 219: Zeile 220:
 </code> </code>
  
-=====1-Tier with OSCP=====+=====1-Tier with OCSP=====
  
 +Einfache 1-Tier Root CA mit [[OCSP]] Responder
 ====Initialize Root CA==== ====Initialize Root CA====
 <code bash> <code bash>
Zeile 278: Zeile 280:
  
 [ dn ] [ dn ]
-C  = DE +C  = AT 
-ST = Bayern +ST = Vienna 
-L  = München +L  = Vienna 
-O  = MeineFirma +O  = Brainworx 
-CN = Meine Root CA+CN = Root CA
  
 [ v3_ca ] [ v3_ca ]
Zeile 346: Zeile 348:
 openssl req -new -key "$SERVER_DIR/$SERVER.key.pem" \ openssl req -new -key "$SERVER_DIR/$SERVER.key.pem" \
     -out "$SERVER_DIR/$SERVER.csr.pem" \     -out "$SERVER_DIR/$SERVER.csr.pem" \
-    -subj "/C=DE/ST=Bayern/O=MeineFirma/CN=$SERVER"+    -subj "/C=AT/ST=Vienna/O=Brainworx/CN=$SERVER"
  
 # Zertifikat signieren # Zertifikat signieren
Zeile 399: Zeile 401:
 echo "Zertifikat $SERVER widerrufen und CRL aktualisiert:" echo "Zertifikat $SERVER widerrufen und CRL aktualisiert:"
 echo "   -> CRL: $CRL_PUB_DIR/ca.crl.pem" echo "   -> CRL: $CRL_PUB_DIR/ca.crl.pem"
-</bash>+</code> 
 + 
 +====Initialize OCSP==== 
 +<code bash
 +#!/bin/bash 
 + 
 +set -e 
 + 
 +CA_DIR="$HOME/myCA" 
 +OCSP_NAME="ocsp" 
 +OCSP_DIR="$CA_DIR/$OCSP_NAME" 
 +mkdir -p "$OCSP_DIR" 
 + 
 +# Key erstellen 
 +openssl genrsa -out "$OCSP_DIR/$OCSP_NAME.key.pem" 4096 
 + 
 +# CSR 
 +openssl req -new -key "$OCSP_DIR/$OCSP_NAME.key.pem"
 +    -out "$OCSP_DIR/$OCSP_NAME.csr.pem"
 +    -subj "/C=AT/ST=Vienna/O=Brainworx/CN=OCSP Responder" 
 + 
 +# Zertifikat signieren 
 +openssl ca -config "$CA_DIR/openssl.cnf"
 +    -in "$OCSP_DIR/$OCSP_NAME.csr.pem"
 +    -out "$OCSP_DIR/$OCSP_NAME.cert.pem"
 +    -days 825 -extensions v3_ocsp -batch 
 + 
 +echo "OCSP-Zertifikat erstellt unter:" 
 +echo "  $OCSP_DIR/$OCSP_NAME.cert.pem" 
 +</code> 
 + 
 +====Start OCSP Server==== 
 +<code bash> 
 +#!/bin/bash 
 + 
 +set -e 
 + 
 +CA_DIR="$HOME/myCA" 
 +OCSP_NAME="ocsp" 
 +OCSP_DIR="$CA_DIR/$OCSP_NAME" 
 + 
 +openssl ocsp \ 
 +  -port 8888 \ 
 +  -text \ 
 +  -index "$CA_DIR/index.txt"
 +  -CA "$CA_DIR/certs/ca.cert.pem"
 +  -rkey "$OCSP_DIR/$OCSP_NAME.key.pem"
 +  -rsigner "$OCSP_DIR/$OCSP_NAME.cert.pem"
 +  -nmin 1 
 +</code> 
 + 
 + 
 +====Test OCSP==== 
 +<code bash> 
 +#!/bin/bash 
 + 
 +set -e 
 + 
 +CA_DIR="$HOME/myCA" 
 +SERVER=$1  # Passe den Namen an 
 +SERVER_CERT="$CA_DIR/issued/$SERVER/$SERVER.cert.pem" 
 + 
 +URI=$(openssl x509 -in "$SERVER_CERT" -noout -ocsp_uri) 
 + 
 +openssl ocsp \ 
 +  -issuer "$CA_DIR/certs/ca.cert.pem"
 +  -cert "$SERVER_CERT"
 +  -url $URI \ 
 +  -resp_text -noverify 
 +</code> 
 + 
 +====OCSP Service==== 
 + 
 +Script als Service erstellen 
 +<code> 
 +sudo nano /etc/systemd/system/ocsp-responder.service 
 +</code> 
 + 
 +<code> 
 +[Unit] 
 +Description=OpenSSL OCSP Responder 
 + 
 +[Service] 
 +Type=simple 
 +ExecStart=/bin/bash /start-ocsp.sh 
 + 
 +[Install] 
 +WantedBy=multi-user.target 
 +</code>
ca.1744447633.txt.gz · Zuletzt geändert: 2025/04/12 10:47 von jango

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-NoDerivatives 4.0 International
CC Attribution-NoDerivatives 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki