49.2. Zertifikate erzeugen

IPSecuritas kann selbst keine Zertifikate erzeugen. Deshalb wird dafür das Programm OpenSSL eingesetzt.

  1. Öffnen Sie ein Unix-Terminal (Programme > Dienstprogramme > Terminal).

  2. Geben Sie folgenden Befehl in einer Zeile ein:

    openssl req -x509 -newkey rsa:2048 -days 730 -new -nodes -outform PEM -keyform PEM -keyout private_key.pem -out newcert.pem

  3. Das Schlüsselpaar wird berechnet und Sie werden nach den Zertifikatsdaten gefragt. Die eingegebenen Werte sind für die Funktion nicht relevant, sie müssen nur auf allen per VPN verbundenen Systemen eindeutig sein. Verwenden Sie keine Umlaute oder Sonderzeichen.

    Generating a 2048 bit RSA private key
    ..................................................................
    .....................................+++...+++
    writing new private key to 'private_key.pem'
    -----
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [GB]:DE
    State or Province Name (full name) [Berkshire]:BW
    Locality Name (eg, city) [Newbury]:Tuebingen
    Organization Name (eg, company) [My Company Ltd]:Intra2net
    Organizational Unit Name (eg, section) []:
    Common Name (eg, your name or your server's hostname) []:MeinRechnerName
    Email Address []:
  4. Das Zertifikat ist jetzt für 2 Jahre (730 Tage) gültig und liegt in der Datei newcert.pem. Der private Schlüssel ist in der Datei private_key.pem. Sie können die Gültigkeitsdauer über den Parameter -days auf der Kommandozeile verändern.

  5. Aktuelle Versionen von IPSecuritas lesen den privaten Schlüssel nur noch im PKCS 12-Format ein. Mit folgendem Befehl auf der Kommandozeile wird das in Schritt 2 erstellte Schlüsselpaar passend umgewandelt:

    openssl pkcs12 -export -in newcert.pem -inkey private_key.pem -out newcert.p12

    An dieser Stelle müssen Sie ein Passwort eingeben, mit dem der private Schlüssel gesichert wird. Dieses Passwort wird später beim Import in IPSecuritas wieder benötigt. Das Resultat wird unter dem Dateinamen newcert.p12 gespeichert.