====== SSL-Zertifikate ======

===== Importieren der CAcert-Rootzertifikate =====


Die Rootzertifikate sind unter Debian, Ubuntu und Gentoo im Paket "ca-certificates" enthalten.


===== Erstellen eines SSL-Keys =====


Bevor es mit SSL-Zertifikaten losgehen kann, braucht jeder Rechner einen SSL-Key. Falls das nicht ohnehin von der Installationsroutine des openssl-Pakets erledigt wird, kann man einen neuen Key mit folgenden Befehlen erstellen:

<code>
openssl genrsa -des3 -out server.key 2048
</code> 
Das fragt eine Passphrase für den Key ab. Als Ausgabe wird "server.key" erstellt, was den Private Key enthält. Dieser sollte in =/etc/ssl/private= liegen.
<code>
openssl rsa -in server.key -out privkey.pem
</code>
Konvertiert den Private Key im PEM-Format, welches Linux-Programme üblicherweise brauchen. Die Passphrase wird dabei vom .pem-File entfernt.


===== Erstellen eines Certificate Signing Request =====
 

Mit einem CSR kann man zur CA gehen und sich ein Zertifikat ausstellen. Dieses Zertifikat wird dann benutzt, um Verbindungen mit dem Server, die mit oben erstelltem private Key verschlüsselt werden sollen, zu authentifizieren.

<code>openssl req -new -key server.key -out server.csr</code>

Ergebnis ist ein server.csr, dass den CSR enthält (wer hätts gedacht).

===== Erstellen des Zertifikates =====

Man loggt sich auf cacert.org ein und wählt den Punkt "Organisations Zertifikate". Unter "neu" kann man per Copy&Paste den CSR eingeben. Anschliessend bietet einem CAcert das Zertifikat zum Download an. Die Datei kann man dann als server.crt speichern.

==== Generating a Self-Signed Certificate ====

At this point you will need to generate a self-signed certificate because you either don't plan on having your certificate signed by a CA, or you wish to test your new SSL implementation while the CA is signing your certificate. This temporary certificate will generate an error in the client browser to the effect that the signing certificate authority is unknown and not trusted.

To generate a temporary certificate which is good for 365 days, issue the following command:

<code>openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt</code>

''Signature ok\\
subject=/C=CH/ST=Bern/L=Oberdiessbach/O=Akadia AG/OU=Information\\
Technology/CN=public.akadia.com/Email=martin dot zahn at akadia dot ch\\
Getting Private key''


===== SSL-Certificat-des-mailservers-Testen =====

  - gnutls-cli installieren <code>aptitude install gnutls-bin</code>
  - <code>gnutls-cli -s -p 25 YOURSMTPHOST</code>
  - <code>ehlo foo</code>
  - <code>starttls</code>
  - Press CTRL+d

===== Ausführliche Anleitung =====
[[https://stackoverflow.com/questions/10175812/how-to-create-a-self-signed-certificate-with-openssl/27931596#27931596]]