{"id":20833,"date":"2023-09-30T19:31:06","date_gmt":"2023-09-30T17:31:06","guid":{"rendered":"http:\/\/blog.wenzlaff.de\/?p=20833"},"modified":"2023-09-30T19:10:21","modified_gmt":"2023-09-30T17:10:21","slug":"rsa-checkliste-fuer-ssl-zerfikate-erstellen-mit-xca-fuer-portainer","status":"publish","type":"post","link":"http:\/\/blog.wenzlaff.de\/?p=20833","title":{"rendered":"RSA Checkliste f\u00fcr SSL-Zerfikate erstellen mit XCA f\u00fcr Portainer"},"content":{"rendered":"

ECC wird oft als zukunftssicherer angesehen, da es auf mathematischen Konzepten basiert, die voraussichtlich auch bei Fortschritten in der Kryptanalyse sicher bleiben. RSA hingegen k\u00f6nnte anf\u00e4lliger f\u00fcr Angriffe werden, wenn leistungsf\u00e4higere Computer und Algorithmen entwickelt werden. ECC wird aufgrund seiner Effizienz und Sicherheitseigenschaften RSA in vielen modernen Anwendungen ersetzen. ECC l\u00e4uft aber halt noch nicht \u00fcberall. Portainer kann leider noch keine ECC (secp256k1), deshalb in diesen Beitrag einer Zertifikatserzeugung mit RSA Key und XCA. <\/p>\n

\"\"<\/p>\n

Es sind diese 9 Schritte n\u00f6tig. Unten gibt es die Checkliste zum kostenlosen Download.<\/p>\n

\"\"<\/p>\n

1. XCA installieren<\/strong> (https:\/\/hohnstaedt.de\/xca\/index.php<\/a>)<\/p>\n

2. XCA starten<\/strong> (XCA-Men\u00fc: Zubeh\u00f6r-XCA, http:\/\/blog.wenzlaff.de\/?p=20761<\/a>) <\/p>\n

3. Erstellen Sie eine neue PKI-Datenbank<\/strong>, falls noch nicht geschehen (XCA-Men\u00fc: Datei > Neue Datenbank), geben Sie den Namen der Datenbank: rsa.xdb und Speichern und ein selbst ausgedachtes Passwort zweimal ein<\/p>\n

4. Erstellen Sie einen neuen Privaten Key<\/strong>. Klicken Sie auf den Tab Private Schl\u00fcssel dann Neue Schl\u00fcssel. Dort eingeben:
\nName: rsa-priv-key
\nSchl\u00fcsseltyp: RSA
\nSchl\u00fcssell\u00e4nge: 2048 bit
\nund auf Erstellen klicken.<\/p>\n

5. Erstellen Sie ein neues selbstsigniertes Zertifikat<\/strong>. Klicken Sie auf Zertifikate und auf Neues Zertifikat. <\/p>\n

Auf dem 1. Tab Herkunft muss bei Unterschreiben: Selbstsigniertes Zertifikat erstellen ausgew\u00e4hlt sein und als Signatur algorithmus: SHA256. Dann auf Vorlage f\u00fcr das neue Zertifikat: default CA ausw\u00e4hlen und auf Alles \u00fcbernehmen klicken. <\/p>\n

Auf den 2. Tab, als Inhaber folgende Eingaben (Beispiel anpassen)
\nInterner Name: rsa-zertifikat und unter Distinguished name:
\ncountryName: DE
\nstateOrProvinceName: Germany
\nlocalityName: Niedersachsen
\norganizationName: TWSoft
\norganizationalUnitName: TWSoft
\ncommonName: pi-vier (dieser Name (CN) ist Wichtig, und muss genau dem Rechnername entsprechen!)
\nemailAddress:info-anfrage@wenzlaff.de<\/p>\n

nun unten im Feld: Privater Schl\u00fcssel den oben erstellten rsa-priv-key (RSA:2048 bit) ausw\u00e4hlen.<\/p>\n

Auf dem 3. Tab Erweiterungen auch noch den Key identifier: X509v3 Authority Key Identifier und X509v3Subject Key Identifier ausw\u00e4hlen. Die X509v3 Basis Constraints bleiben auf Typ: Zertifikats Authorit\u00e4t und auf Critical.
\nEvl. Noch die G\u00fcltigkeit anpassen oder auf 10 Jahre lassen. Evl. Noch X509v3 Subject Alternative Namen um alle Namen bzw. IP-Adressen erg\u00e4nzen unter der das Zertifikat g\u00fcltig sein soll.<\/p>\n

Auf dem 4. Tab. Schl\u00fcsselverwendung X509v3 Key Usage Digital Signature und Key Encipherment w\u00e4hlen
\nund unter X509v3 Extended Key Usage den TLS Web Server Authentication und TLS Web Client Authentication ausw\u00e4hlen.<\/p>\n

Auf den 5. Tab. Netscape unter Netscape Cert Typ den SSL Server ausw\u00e4hlen. Dann auf OK klicken und das Zertifikat wurde erstellt.<\/p>\n

6. Nun das Zertifikat als Datei exportieren<\/strong>. Im 3. Tab Zertifikate das erstellte rsa-zertifikat selektieren und auf Export klicken und das Exportformat: PEM (*.crt) ausw\u00e4hlen und als rsa-zertifikat.crt speichern.<\/p>\n

7. Nun noch den privaten Schl\u00fcssel als Datei exportieren<\/strong>. Im 1. Tab Private Schl\u00fcssel den rsa-priv-key selektieren und auf Export klicken. Dann das Exportformat: PEM private (*.pem) ausw\u00e4hlen und als rsa-priv-key.pem speichern<\/p>\n

Wir haben nun den Privaten Schl\u00fcssel rsa-priv-key.pem<\/strong> und das Zertifikat rsa-zertifikat.crt<\/strong><\/em> in einer Datei. <\/p>\n

Die k\u00f6nnen wir nun in Portainer wie folgt ausw\u00e4hlen.<\/p>\n

8. In Portainer<\/strong> unter dem Men\u00fc: Settings und SSL certificate w\u00e4hlen wir f\u00fcr SSL\/TLS certificat mit klick auf den Select a file den rsa-zertifikat.crt und f\u00fcr SSL\/TLS den private key rsa-priv-key.pem aus und klicken dann auf Save SSL Settings Button.<\/p>\n

\"\"<\/p>\n

9. Check<\/strong>. Nun \u00fcber die https:\/\/pi-vier:9443 Seite anmelden und als Ausnahme hinzuf\u00fcgen, da es ein selbstsigniertes Zertifikat ist. So sieht das Zertifikat dann f\u00fcr die n\u00e4chsten 10 Jahre im Browser aus:<\/p>\n

\"\"<\/p>\n

\"\"<\/p>\n

Kostenlose Checkliste RSA-Zertifikate-XCA-Portainer.pdf<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

ECC wird oft als zukunftssicherer angesehen, da es auf mathematischen Konzepten basiert, die voraussichtlich auch bei Fortschritten in der Kryptanalyse sicher bleiben. RSA hingegen k\u00f6nnte anf\u00e4lliger f\u00fcr Angriffe werden, wenn leistungsf\u00e4higere Computer und Algorithmen entwickelt werden. ECC wird aufgrund seiner Effizienz und Sicherheitseigenschaften RSA in vielen modernen Anwendungen ersetzen. ECC l\u00e4uft aber halt noch nicht … <\/p>\n

\u201eRSA Checkliste f\u00fcr SSL-Zerfikate erstellen mit XCA f\u00fcr Portainer\u201c <\/span>weiterlesen<\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_import_markdown_pro_load_document_selector":0,"_import_markdown_pro_submit_text_textarea":"","footnotes":""},"categories":[220,4606,5811,1023,1319],"tags":[5812,819,5225,739,5810,5809,4663,5799,2235],"class_list":["post-20833","post","type-post","status-publish","format-standard","hentry","category-anleitung","category-crypto","category-elliptische-kurven","category-raspberry-pi","category-sicherheit-2","tag-checkliste","tag-key","tag-portainer","tag-rsa","tag-rsa-xca","tag-rsa-zertifikat","tag-secp256k1","tag-xca","tag-zertifikat"],"_links":{"self":[{"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/posts\/20833","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=20833"}],"version-history":[{"count":0,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/posts\/20833\/revisions"}],"wp:attachment":[{"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=20833"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=20833"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=20833"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}