Die nach der folgenden Anweisung erstellten Schlüssel und Zertifikate können analog für das Gateway und alle Clientsysteme verwendet werden. Der String ``foobar'' sollte zur Übersichtlichkeit durch den Hostnamen des Systems ersetzt werden. Die Erstellung der Zertifikate kann wahlweise auf der CA oder auf dem Zielsystem selbst erfolgen.
Erzeugung des privaten RSA-Schlüssels mit einer Bitlänge von 2048:
# openssl genrsa -out foobar.key 2048Signierungswunsch erzeugen:
# openssl req -new -key foobar.key -out foobar.csrSignierung durch die CA und Hinzufügen des Attributes ``Subject Alternative Name'':
# openssl x509 -req -days 999 -in foobar.csr -CA /etc/ssl/ca.crt \
-CAkey /etc/ssl/private/ca.key -CAcreateserial -out foobar.crt
# certpatch -t fqdn -i hostname.domain.tld \
-k /etc/ssl/private/ca.key foobar.crt foobar.crt
Falls auf dem System, auf dem die Zertifikate erstellt werden, kein certpatch zur Verfügung steht, gibt es noch einen weiteren Weg, das Zertifikat zu signieren und das Attribut ``Subject Alternative Name'' hinzuzufügen (isakmpd(8)). Dafür wird die openssl-Konfigurationsdatei x509v3.cnf (siehe Anhang) benötigt.
# export CERTFQDN=hostname.domain.tld
# openssl x509 -req -days 365 -in foobar.csr -CA /etc/ssl/ca.crt \
-CAkey /etc/ssl/private/ca.key -CAcreateserial \
-extfile /etc/ssl/x509v3.cnf -extensions x509v3_FQDN \
-out foobar.crt
Verifikation des signierten Zertifikates:
# openssl verify -CAfile ca.crt foobar.crt
Anschauen und Überprüfen des ``Subject Alternative Name'':
# openssl x509 -text -noout -in foobar.crt
Das Attribut ``Subject Alternative Name'' im X.509v3 Zertifikat dient beim Schlüsselaustausch über IKE [6] als Identifikation der Kommunikationspartner und muß in der Konfiguration des entsprechenden Dämonen angegeben werden. Es besteht die Auswahl an diversen Identifikationstypen (FQDN, UFQDN, IPv4, IPv6, ASN1). Im Beispiel wurde FQDN - Fully Qualified Domain Name - als Identifikationstyp gewählt.