Verschillen

Dit geeft de verschillen weer tussen de geselecteerde revisie en de huidige revisie van de pagina.

--- werkinstructies:ssl_tls [2016/03/09 11:23]
abel [X.509 signing request maken]
+++ werkinstructies:ssl_tls [2017/05/12 10:56] (huidige)
abel [Op Linux]
@@ Regel 84: / Regel 84: @@
 Het CA certificaat vindt je in ''/etc/pki/CA/cacert.pem''
-==== trusted certificates ====
+om twee keer eenzelfde certificaat te kunnen signen doe: ''vi /etc/pki/CA/index.txt.attr''
+en verander ''unique_subject = yes'' in ''unique_subject = no''
+===== trusted  CA certificaten toevoegen =====
+==== op Windows ====
 Om zonder uitzonderingen per gebruikte webserver aan te maken in browsers en andere software is het belangrijk je eigen CA certificaat toe te voegen aan de vertrouwde certificaat authoriteiten op je werkplek.
@@ Regel 97: / Regel 102: @@
 {{:werkinstructies:ssl-tls-3.png?nolink&300|}}\\
 Kies //Vertrouwde basiscertificeringsinstanties// en druk in het vorige venster waar we in terug zijn op ''Volgende'' en ''Voltooien''
+==== Op Linux ====
+=== Fedora sinds versie 19 & RHEL/CentOS 7 ===
+Kopieer je CA certificaat in PEM formaat naar ''/etc/pki/ca-trust/source/anchors/''
+Of, als je certificaat in OpenSSL’s extended //BEGIN TRUSTED CERTIFICATE// formaat is, zet je het in ''/etc/pki/ca-trust/source''.
+En run ''update-ca-trust''.
+op RHEL 6 moet je de mogelijkheid tot toevoegen aanzetten door: ''update-ca-trust enable''
+=== Ubuntu & Debian ===
+zet je ca certificaat in de trusted CA directory:\\
+''cp cacert.pem /usr/local/share/ca-certificates/cacert-cind.pem''
+Update de CA store:\\
+''update-ca-certificates''
+Verwijderen gaat precies omgekeerd; rm het certificaat en run:\\
+''update-ca-certificates %%--fresh%%''
@@ Regel 110: / Regel 138: @@
   * Op de betreffende server door:
-'' openssl req -nodes -days 1000 -newkey rsa:2048 -keyout [FQDN].key -out [FQDN].csr''
+''openssl req -nodes -days 1000 -newkey rsa:2048 -keyout [FQDN].key -sha256 -out [FQDN].csr''
 Met dit commando wordt zowel het signing request als de server key aangemaakt.
@@ Regel 120: / Regel 148: @@
 Bij servers waar je geen locale ssl software tot je beschikking hebt en sommige devices zul je de certificaten en keys op de CA server moeten maken. In dat geval moet je ook de serverkey naar de server transporteren.
-'' openssl req -nodes -days 1000 -newkey rsa:2048 -keyout [FQDN].key -out [FQDN].csr''
+Ga naar de directory waar alle certificaten gesigned door deze CA zijn opgeslagen: '' cd /etc/pki/CA/certs/''
+en maak een key en CSR aan:
+''openssl req -nodes -days 1000 -newkey rsa:2048 -keyout [FQDN].key -sha256 -out [FQDN].csr''
 Met dit commando wordt zowel het signing request als de server key aangemaakt.
-Het programma vraagt je om enkele gegevens, waarvan de belangrijste de ''“Common Name”'' is. Vul hier je FQDN van de server waar je een certificaat voor maakt in, **LET GOED OP!** de default waarden kunnen verkeerd staan.
+Het programma vraagt je om enkele gegevens, waarvan de belangrijste de ''“Common Name”'' is. Vul hier je FQDN van de server waar je een certificaat voor maakt in,
+<note important>**LET GOED OP!** de default waarden kunnen verkeerd staan.</note>
 ===== X.509 Certificaten signen =====
 Haal het request over naar de CA server. Overigens, het request is niets anders dan de public key ingepakt in een certificaat die alleen de signing mist.
-sign het request, bijvoorbeeld die van de LDAP server:
+sign het request:
+''openssl ca -days 3650 -extensions v3_req -out [FQDN].crt -keyfile /etc/pki/CA/private/cakey.pem -cert /etc/pki/CA/cacert.pem -policy policy_anything -infiles [FQDN].csr''
+bijvoorbeeld die van de LDAP server:
-''openssl ca -days 3650 -out LDAPcert.pem -keyfile /etc/pki/CA/private/cakey.pem -cert /etc/pki/CA/cacert.pem -policy policy_anything -infiles LDAPreq.pem''
+''openssl ca -days 3650 -extensions v3_req -out LDAPcert.pem -keyfile /etc/pki/CA/private/cakey.pem -cert /etc/pki/CA/cacert.pem -policy policy_anything -infiles LDAPreq.pem''
 <code>
@@ Regel 187: / Regel 225: @@
 [[http://wiki.cacert.org/HowTo/InstallCAcertRoots]]
+[[http://kb.kerio.com/product/kerio-connect/server-configuration/ssl-certificates/adding-trusted-root-certificates-to-the-server-1605.html]]
+[[http://www.vstrong.info/2013/03/19/how-to-create-server-certificate-and-include-dns-alias/]]
+[[https://www.happyassassin.net/2015/01/14/trusting-additional-cas-in-fedora-rhel-centos-dont-append-to-etcpkitlscertsca-bundle-crt-or-etcpkitlscert-pem/]]

Gebruikershulpmiddelen

Site-hulpmiddelen

Verschillen

Paginahulpmiddelen