Certification Authority

Für die Erstellung aller Zertifikate wird die freie Krypto-Software openssl [4] verwendet. Der Rechner, der als CA fungiert, ist ein alter Intel 486 Laptop ohne Netzwerkkarte mit installiertem OpenBSD. Der Transfer der Zertifikate erfolgt über Disketten. Der private Schlüssel der CA ist nur auf der Festplatte des CA Rechners gespeichert und durch eine Passphrase geschützt.

Im Vorfeld kann die Konfigurationsdatei openssl.cnf (Beispiel siehe Anhang) editiert werden, um sinnvolle Voreinstellungen vorzunehmen und Schreibarbeit bei der Erstellung der Zertifikate zu sparen.

Vor der Erstellung sollte das korrekte Datum auf dem System eingestellt sein.

Als erstes wird ein RSA Schlüssel mit einer Bitlänge von 2048 generiert und mit einer Passphrase geschützt:

 # openssl genrsa -des3 -out /etc/ssl/private/ca.key 2048

Als nächstes wird die Nachfrage zur Eigensignierung erzeugt. Bei der Wahl des Distinguished Name (DN) sollte auf das Attribut email verzichtet werden. Als ``Common Name'' empfiehlt sich CA:

 # openssl req -new -key /etc/ssl/private/ca.key -out /tmp/ca.csr

Jetzt erfolgt die Signierung mit Hinzunahme von zusätzlichen Attributen:

 # openssl x509 -req -days 999 -in /tmp/ca.csr \
    -signkey /etc/ssl/private/ca.key -extfile /etc/ssl/x509v3.cnf \
    -extensions x509v3_CA -out /etc/ssl/ca.crt

Anschauen und Verifizieren:

 # openssl x509 -text -noout -in ca.crt

Der DN im Subject Attribut wird später für die Erstellung der isakmpd.policy auf dem OpenBSD Gateway und Client benötigt. Viele nützliche Hinweise und umfangreiche Dokumentation zu openssl in deutsch, sind im OpenSSL-Handbuch des DFN-CERT [5] zu finden.