Skip to main content

Create certificates

AlleAll nachfolgenden,subsequent erforderlichenentries, Eingaben, Kommandos,commands, etc. sindare imrequired Terminalin desthe terminal of the PI OSOS!

erforderlich!

 JeDepending nachon demwhich welcheinstructions Anleitungyou ihrhave imalready Internetread schonon gelesenthe habt,Internet, werdendifferent immerdirectories verschiedeneare Verzeichnissealways zursuggested Ablageor derused Zertifikatefor vorgeschlagenstoring oderthe verwendet.certificates. IchI würdewould euchsuggest vorschlagenthat einyou Verzeichniscreate zua erstellen,directory dasthat ihryou immeralways verwendetuse umto eurecreate eigenenand Zertifikateedit zuyour erstellen,own zucertificates bearbeitenand undspecify alsas Speicherortthe storage location in denthe Browserbrowser 'VirtualHost' Blöcken anzugeben.blocks.

FürFor unserour Beispielexample verwendenwe wir:use:

  • TLD = lan


  • SLD = zuhause
  • home
    subdomain = nas

1. erstellenCreate einera vertrauenswürdigentrusted Stammzertifizierungsstelleroot certification authority

1.1 erstellenCreate einesa Privatenprivate Schlüsselskey fürfor diethe Stammzertifizierungsstelleroot certification authority

Kommando:command: "openssl genrsa -des3 -out <SLD, ohne TLD>.key 2048"

    • z.B. euer

      e.g. Domänennameyour domain name = zuhause.lan, dannthen nuronly "zuhause"!

    • ihr werdet

      you dannwill nachthen einerbe asked for a "Passpass Phrase" gefragtphrase" 8-tung! vergebt bitte eine Passwort, dass ihr nicht vergessttung!, daplease ansonstenassign spätera password that you will not forget, otherwise massive Problemeproblems auftauchenmay können,arise dalater, ihras diesesyou Passwortwill immerneed malthis wiederpassword braucht,from jetime nachdemto wotime, unddepending wieon ihrwhere euerand Zertifikathow gebrauchenyou wollt!want to use your certificate!

    • nochone einmore Tipp:tip:
      - jeThe längerlonger dasthe Passwort,password, destothe besserbetter diethe Verschlüsselung.encryption. ObwohlAlthough ichI auchwouldn't nichtoverdo übertreibenit würde,either, daas jaeverything sichonly allestakes nurplace in euremyour Heimnetzwerkhome abspielt.network.
      - übrigens:By fallsthe ihrway: imif Laufeyou derrealize Arbeitenin feststellt,the dascourse ihrof einenyour anderenwork that you want to use a different TLD oderor SLDSLD, benutzenyou wollt,will müssthave ihrto immerstart wiederall vonover vorneagain. anfangen.Certificates Zertifikatecannot kannbe man nicht ändern!changed!
1.2 erstellenCreate desthe Stammzertifikatsroot certificate
    • Kommando:command: "openssl req -x509 -new -nodes -key <SLD>.key -sha256 -days 3650 -out >SLD>.pem"
    • esThe werdenfollowing jetztadditional nochinformation folgendenis zusätzlichenow Informationen abgefragt:requested:

    • Country Name (2 letter code): <>
      State or Province Name (full name):  <>
      Locality Name (eg, city):  <>
      Organization Name (eg, company): <> 
      Organizational Unit Name (eg, section): <>
      Common Name (e.g. server FQDN or YOUR name): <SLD.TLD>
      Email Address: <>

<> = könntyou ihrcan ausfüllen,fill mussin, manbut aberyou nicht!don't have to!

2. erstellenCreate voncertificates Zertifikatenbased basierendon aufthe demroot Stammzertifikatcertificate

DiesenYou Ablaufmust müsstrepeat ihrthis fürprocedure jedefor each subdomain (meistensmostly Geräte,devices, z.b.e.g. NAS) wiederholen!!

2.1 erstellenCreate einesa Privatenprivate Schlüsselskey fürfor dasthe Zertifikatcertificate

Kommando:command: "openssl genrsa -out <subdomain.SLD.TLD>.key 2048"

      • unser Beispiel
          • our example = nas.zuhause.lan
2.2 erstellenCreate einesa CSR (Code Signing Request)

Kommando:command: "openssl req -new -key <subdomain.SLD.TLD>.key -out <subdomain.SLD.TLD>.csr"

      • unser Beispiel
          • our example = nas.zuhause.lan
2.3 erstellenCreate eineran X509 V3 Zertifikatserweiterungs-Konfigurationsdateicertificate extension configuration file

Kommando:command: "nano <subdomain.SLD.TLD>.ext"

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = <subdomain.SLD.TLD>
      • unser Beispiel
          • our example = nas.zuhause.lan
2.4 dascreate Zertifikatthe erstellencertificate

(mitwith unsererour CSR, demthe privatenprivate Schlüsselkey derof the CA, demthe CA-ZertifikatCA undcertificate derand Konfigurationsdatei)the configuration file)

Kommando:command: "openssl x509 -req -in <subdomain.SLD.TLD>.csr -CA <SLD>.pem -CAkey <SLD>.key -CAcreateserial -out <subdomain.SLD.TLD>.crt -days 3650 -sha256 -extfile <subdomain.SLD.TLD>.ext"

      • unser Beispiel
          • our example = SLD: zuhause - subdomain.sld.TLD: nas.zuhause.lan

hey, ihryou "Durchhalter.perseverers...", ihryou habtactually esmade tatsächlich geschafft.it... na,well, jayes - fast!almost!  😇  The Dasroot Stammzertifikatcertificate mussstill jahas nochto verteiltbe werden,distributed damitso diethat Browserthe euerbrowsers Zertifikatcan erfolgreichsuccessfully validierenvalidate könnenyour undcertificate derand Webthe Serverweb brauchtserver jastill nochneeds diethe Informationinformation welchesabout Zertifikatwhich ercertificate verwendenit soll,should aberuse, dann,but versprochen,then, I promise, "klappt'syou'll auchget mitalong demwith Nachbarn"your neighbor" 😎 

Back to top