[[fhc:server|zurück zur Übersicht]]


====== SSL Zertifikate ======

== Erstellen eines CSR ==
Mit folgendem Befehl wird einer neuer Key erstellt und ein dazupassender CSR mit dem danach das Zertifikat angefordert werden kann.
<code>
openssl req -nodes -new -newkey rsa:2048 -sha256 -out csr.pem
</code>

== Erstellen von selbstsignierten Zertifikaten == 
Für Testzwecke kann auch ein selbstsigniertes Zertfikat erstellt werden.
Key und Zertifikat werden mit folgendem Befehl erzeugt
<code>
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout fhcomplete.key -out fhcomplete.crt
</code>


== Anzeigen von Zertifikatsinformationen ==
Die Details eines Zertifikats können mit folgendem Befehl angezeigt werden:
<code>
openssl x509 -text -in fhcomplete.crt
</code>

== Zertifikat im Zertifikatsspeicher ablegen ==

Damit die Dokumentenerstellung funktioniert muss das Zertifikat im Zertifikatsspeicher des Betriebssystems abgelegt werden damit dem Zertifikat vertraut wird. Dazu wird das Zertifikat nach /usr/local/share/ca-certificates kopiert 
Danach muss der Zertifikatsspeicher aktualisiert werden.
<code>
cp fhcomplete.crt /usr/local/share/ca-certificates/
update-ca-certificates
</code>

== Zertifikat des Servers anzeigen ==

Mit folgenden Befehl kann die Zertifikate des Servers angezeigt werden. 
<code>
openssl s_client -showcerts -connect ldap.example.com:636
</code>

Sind mehrere VHosts auf dem Server muss der Servername mitgeschickt werden um das korrekte Zertifikat zu erhalten (SNI):
<code>
openssl s_client -showcerts -servername ldap.example.com -connect ldap.example.com:636
</code>

== Prüfen ob das Zertifikat valide ist ==
<code>
openssl verify fhcomplete.pem
</code>

== Prüfen ob das Zertifikat zum Private Key passt ==
Um zu Prüfen ob ein Zertifikat auch wirklich zu einem Key passt muss der Output der folgenden 2 Befehle verglichen werden. Wird das selbe Ergebnis ausgegeben, dann passen die beiden zusammen.
<code>
openssl rsa -noout -modulus -in fhcomplete.key | openssl md5
openssl x509 -noout -modulus -in fhcomplete.crt | openssl md5
</code>

== Konvertieren des Zertifikats ==
Mit folgendem Befehl kann das Zertifikat von .cer oder .crt nach .pem konvertiert werden
<code>
openssl x509 -inform der -in fhcomplete.crt -out fhcomplete.pem
</code>