# RootCA
openssl.exe genrsa -aes256 -out .\RootCA\RootCA.key.pem 4096
openssl.exe req -config openssl.cfg -key .\RootCA\RootCA.key.pem -new -x509 -days 7400 -sha256 -extensions v3_ca -out .\RootCA\RootCA.cert.pem
![OpenSSL ROOTCA OpenSSL PKI erstellen](https://www.der-windows-papst.de/wp-content/uploads/2021/07/OpenSSL-ROOTCA-300x157.png)
# SubCA signiert durch RootCA
openssl.exe genrsa -out .\subca\SubCA.key 4096
openssl.exe req -new -key .\subca\SubCA.key -out .\subca\SubCA.csr
openssl.exe x509 -req -days 3650 -in .\subca\SubCA.csr -CA .\RootCA\RootCA.cert.pem -CAkey .\RootCA\RootCA.key.pem -CAcreateserial -out .\subca\SubCA.crt -extfile openssl.cfg -extensions v3_ica
![OpenSSL SubCA Signiert durch OpenSSL RootCA OpenSSL SubCA Signiert durch OpenSSL RootCA](https://www.der-windows-papst.de/wp-content/uploads/2021/07/OpenSSL-SubCA-Signiert-durch-OpenSSL-RootCA-300x157.png)
# Request für Server1 erstellen
openssl.exe genrsa -out .\ServerKeys\Server1.key -aes256
openssl.exe req -new -key .\ServerKeys\Server1.key -out .\requests\Server1.csr
![OpenSSL Zertifikatsrequest erstellen OpenSSL Zertifikatsrequest erstellen](https://www.der-windows-papst.de/wp-content/uploads/2021/07/OpenSSL-Zertifikatsrequest-erstellen-300x167.png)
# Request von Server 1 signieren durch SubCA > Cert v1
openssl.exe x509 -req -days 730 -in .\requests\Server1.csr -CA .\SubCA\SubCA.crt -CAkey .\SubCA\SubCA.key -set_serial 0001 -out .\Certs\Server1.crt
![Zertifikatsrequest signiert durch SubCA Zertifikatsrequest signiert durch SubCA](https://www.der-windows-papst.de/wp-content/uploads/2021/07/Zertifikatsrequest-signiert-durch-SubCA-300x68.png)
# Request von Server 1 signieren durch SubCA > Cert v3
openssl.exe x509 -req -days 730 -in .\requests\Server1.csr -CA .\SubCA\SubCA.crt -CAkey .\SubCA\SubCA.key -set_serial 0002 -out .\Certs\Server1.crt -extensions v3_ext -extfile .\ext3.cfg
![OpenSSL Zertifikat Version 3 OpenSSL Zertifikat Version 3](https://www.der-windows-papst.de/wp-content/uploads/2021/07/OpenSSL-Zertifikat-Version-3-300x68.png)
Für die Signierung und der Nutzung der V3 Eweiterung liegt dem ganzen eine separate Konfigurationsdatei bei. Die Config-Datei heißt ext3.cfg.
![OpenSSL PKI erstellen 3 SubCA signiert Zertifikatsanfrage](https://www.der-windows-papst.de/wp-content/uploads/2021/07/SubCA-signiert-Zertifikatsanfrage-235x300.png)
![OpenSSL V3 Erweiterung OpenSSL V3 Erweiterung](https://www.der-windows-papst.de/wp-content/uploads/2021/07/OpenSSL-V3-Erweiterung-236x300.png)
# Server1 Zertifikat in PFX umwandeln
openssl.exe pkcs12 -export -out .\ServerKeys\Server1.pfx -inkey .\ServerKeys\Server1.key -in Certs\Server1.crt
![Zertifikat in PFX umwandeln Zertifikat in PFX umwandeln](https://www.der-windows-papst.de/wp-content/uploads/2021/07/Zertifikat-in-PFX-umwandeln-300x56.png)
# Bilden einer Zertifikatskette aus RootCA und SubCA
type .\subca\SubCA.crt .\RootCA\RootCA.cert.pem > certs\CA-Chain.pem
![Bilden einer Zertifikatskette aus RootCA und SubCA Bilden einer Zertifikatskette aus RootCA und SubCA](https://www.der-windows-papst.de/wp-content/uploads/2021/07/Bilden-einer-Zertifikatskette-aus-RootCA-und-SubCA-300x64.png)
# Server1 Zertifikat in PFX umwandeln und Chain bilden
openssl.exe pkcs12 -export -out .\ServerKeys\Server1.pfx -inkey .\ServerKeys\Server1.key -in Certs\Server1.crt -certfile .\Certs\CA-Chain.pem
![Zertifikat in PFX umwandeln und Chain bilden Zertifikat in PFX umwandeln und Chain bilden](https://www.der-windows-papst.de/wp-content/uploads/2021/07/Zertifikat-in-PFX-umwandeln-und-Chain-bilden-300x64.png)
# Das Zertifikat ist nun vertrauenswürdig und gültig.
![Zertifikat gültig Zertifikat gültig](https://www.der-windows-papst.de/wp-content/uploads/2021/07/Zertifikat-gueltig-236x300.png)
![OpenSSL Zertifikatskette OpenSSL Zertifikatskette](https://www.der-windows-papst.de/wp-content/uploads/2021/07/OpenSSL-Zertifikatskette-236x300.png)
3 Kommentare
Kommentare sind geschlossen.