Zertifikat für Benutzer oder Geräte ausstellen
- Erstellen Sie einen Schlüssel für das Gerät oder den Benutzer mit
dem Befehl:
- genrsa -out device.key 2048
Dieser Befehl erstellt die Datei 'device.key' im aktuellen Verzeichnis.
- Erstellen Sie eine Zertifikatsanforderung (Request) für das Gerät oder
den Benutzer mit dem Befehl:
- req -key device.key -new -subj /CN=DEVICE -out device.req
Dieser Befehl erstellt die Datei 'device.req' im aktuellen Verzeichnis.
Anmerkung: Neben diesem Befehl sind noch weitere Änderungen in der Datei
„openssl.cnf“ zur Definition einer Extension notwendig.
- Erstellen Sie ein Zertifikat aus der Zertifikatsanforderung mit dem Befehl:
- x509 -extfile openssl.cnf -req -in device.req -CAkey ca.key -CA ca.crt
-CAcreateserial -days 90 -out device.crt
Dieser Befehl signiert die Zertifikatsanforderung 'device.req' mit dem
Schlüssel 'ca.key' und stellt damit das Zertifikat 'device.cert' aus.
Zusätzlich wird dabei die Konfigurationsdatei openssl.cnf verwendet.
- Exportieren Sie das Zertifikat für das Gerät oder den Benutzer mit dem Befehl:
- pkcs12 -export -inkey device.key -in device.crt -certfile ca.crt -out
device.p12
Dieser Befehl fasst den Schlüssel 'device.key', das Geräte-Zertifikat 'device.crt'
und das Root-Zertifikat 'ca.crt' zusammen und speichert sie gemeinsam in der Datei
'device.p12'. Diese PKCS#12-Datei können Sie direkt in das gewünschte Gerät
laden.