SAN Zertifikat mit OpenSSL fuer Apache

SAN-Zertifikat mit OpenSSL für Apache

Zertifikate

SAN Zertifikate mit OpenSSL erstellen

Wie immer beginnen wir mit der Erstellung eines privaten Schlüssels.

openssl genrsa -out Apache.key 4096

generate private key

Zur Erstellung eines Zertifikats-Requests benötigen wir eine minimale Konfigurationsdatei.

Dazu kopieren wir diesen Satz in eine Textdatei und benennen diese in reg.conf um.

Konfigurationsdaten OpenSSL

[req]
default_bits = 4096
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no

[req_distinguished_name]
C = DE
ST = NRW
L = ESSEN
O = WindowsPapst
OU = IT
CN = apache.dwp.local

[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
IP.1 = 172.18.32.155
DNS.1 = apache
DNS.2 = apache.dwp.local

Erstellen nun auf Basis des privaten Schlüssels ein Zertifikatsrequest (CSR).

openssl req -new -out apache.csr -key apache.key -config reg.conf

Erstellen nun auf Basis des privaten Schlüssels ein Zertifikatsrequest

Der erstelle Request muss nun von einer öffentlichen CA (Zertifizierungsstelle), gerne auch über SSL247, signiert werden. In meinem Test-Fall mache ich das über meine interne CA. Der Request wurde signiert und das Zertifikat liegt nun vor.

Apache Zertifikatsrequest

Zertifikat Apache

Convert KEY to PFX

Wer möchte kann den Keystore “KEY” in “PFX” umwandeln. Dazu wird der Keystore (privater Schlüssel) und das öffentliche Zertifikat benötigt. Diese beiden Teile werden zur Erstellung einer PFX-Datei benötigt. Die PFX-Datei ist ebenfalls ein Keystore.

openssl pkcs12 -export -out apache.pfx -inkey apache.key -in apache.cer

convert key to pfx

https://www.der-windows-papst.de/2021/05/11/san-zertifikat-mit-keytool-fuer-tomcat-oder-iis/