Es ist openssl installiert. Es sind verschiedene Zertifikate in /etc/ssl/cert.

Seit dem 20.5.2005 verwendet Cyberhome nur noch Zertifikate welche durch CACert signiert sind. Das Rootzertifikat kann unter CACert geladen werden. Verschiedene Betriebssysteme (Besipielsweise Linux :)) haben das Zertifikat bereits ab Fabrik installiert (Windows leider nicht :()

Vor dem 20.5.2005 hat Cyberhome eine eigene RootCA betrieben. Die Angaben dazu folgen, sind aber nicht mehr aktuell:

Dokumentation:

• http://www.openssl.org
• http://tldp.org/HOWTO/SSL-Certificates-HOWTO
• eine etwas theoretische abhandlung: http://www.pseudonym.org/ssl/wwwj-index.html

Anzeigen des Zertificat inhaltes:

• openssl x509 -in filename.pem -noout -text

Erstellen eine root CA:

• Befehl openssl req -config /etc/ssl/openssl.cnf -new -x509 -keyout /etc/ssl/private/Cyberhome.pem -out Cyberhome.pem -days 3650
  • zehn Jahre gültig (3650 Tage)
  • out ist der public key
  • keyout der private key welcher auch zum signieren anderer Zertifikate verwendet wird.
  • den public key als irgendws.crt abspeichern um ihn per web in den Browser zu laden.
• Berechtigungen für Private Key anpassen

Erstellen eine Zertifikates fuer Webserver usw.

• erstellen des Zertifikates
  • openssl req -config /etc/ssl/openssl.cnf -new -keyout private_key.pem -out newreq.pem -days 3650
  • um das passwort zu entfernen: openssl rsa -in mega.cyberhome.ch_private_key.pem -out mega.cyberhome.ch_new.pem
• Zertifikat signieren mit dem Cyberhome CA
  • openssl ca -config /etc/ssl/openssl.cnf -policy policy_anything -out newcert.pem -infiles newreq.pem

Irgendwie kann man das Zertifikat erneuern …. (Aber darum kuemmern wir uns dann in 10 Jahren :))

Wenn ein host mehr als einen Namen hat: http://www.stunnel.org/examples/mult_cannonical.html