Workshop: VPN mit Linux

Root CA

Nun schwingen wir uns zunächst einmal zur Root CA auf. Dazu generieren wir als erstes einen RSA Private Key mit 2048 Bit Schlüssellänge:

openssl genrsa -des3 -out private/caKey.pem 2048

Die Option des3 verschlüsselt unseren Key per TripleDES unter Angabe einer Passphrase, so dass nicht Unbefugte eine Zertifikat damit signieren können. Wir allerdings auch nicht, falls wir die Passphrase vergessen sollten.

Jetzt generieren wir unser Root-CA-Zertifikat und limitieren es durch Angabe einer Gültigkeitsdauer auf einen - nicht zu knapp bemessenen - Zeitraum:

openssl req -new -x509 -days=1825 -key private/caKey.pem -out caCert.pem

Als Passphrase ist hier diejenige unseres eben generierten Private Keys anzugeben. Anschließend fragt openssl die einzelnen Elemente des Subject-Eintrags ab, welcher der Identifikation des Zertifikatsinhabers dient. Die einzelnen Bestandteil sind praktisch selbsterklärend, bis auf den Common Name. Für diesen können Sie einen beliebigen Bezeichner vergeben, der aber tunlichst eine griffige Beschreibung des Subject liefern sollte. Das dazugehörige Email-Element beschreibt, wie der Zertifikatsinhaber erreichbar ist.

Dass alles geklappt hat, können wir überprüfen, in dem wir das Zertifikat im Klartext ausgeben lassen:

openssl x509 -in caCert.pem -noout -text

Zu guter Letzt kopieren wir unser Root-CA-Zertifikat nach /etc/ipsec.d/cacerts/, wo es von Free S/WAN erwartet wird.