RSA Schlüsselpaar für Zertifkate auf dem QNAP generieren

Public-Key-Verschlüsselungen werden genutzt, um sichere Datenverbindungen aufbauen zu können. Sie werden beispielsweise für die Ausstellung von SSL Zertifikaten benötigt. Zur Anwendung kommt meistens das RSA Verfahren, welches sowohl zum Verschlüsseln als auch zum digitalen Signieren verwendet werden kann. Das Verfahren nutzt ein Schlüsselpaar, das aus einem privaten und einem öffentlichen Schlüssel besteht. Der private Schlüssel muss geheim gehalten werden, da beispielsweise mit seinem Besitz ein Angreifer in die Lage versetzt würde, eine verschlüsselte Datenübertragung abzuhören. Der private Schlüssel darf deshalb unsere vertrauliche Umgebung nicht verlassen und darf auf keinen Fall kompromittiert werden. Der öffentliche Schlüssel wird für die Ausstellung von SSL Zertifikaten im CSR Format benötigt und muss der Zertifizierungsstelle übermittelt werden.


Vorbereitungen


Wir öffnen eine Terminalverbindung (beispielsweise mit Putty) zu unserer Nas.
Wir wechseln in ein Arbeitsverzeichnis welches wir von der File Station aus erreichen können.


cd /share/Download/



Privaten Schlüssel generieren


Zuerst generieren wir uns den privaten Schlüssel mit Passwortschutz. Diese Schlüsseldatei dient uns zur Datensicherung. Aus Gründen der Sicherheit wird empfohlen hierzu den Schlüssel mit einem Passwort zu schützen. Das Passwort muss mindestens 4 Zeichen enthalten. Beachte, dass bei der Passworteingabe zwischen Groß- und Kleinschreibung unterschieden wird. Zur Überprüfung muss das Passwort ein zweites Mal eingegeben werden.


openssl genrsa -des3 -out server.key.mitpasswort 2048



Auf dem QNAP Nas wird der private Schlüssel ohne Passwort benötigt. Wir speichern uns den passwortfreien Schlüssel mit folgendem Aufruf:


openssl rsa -in server.key.mitpasswort -out server.key



Öffentlichen Schlüssel generieren


Der öffentliche Schlüssel (CSR) wird mit einigen Informationen fürs Zertifikat ausgestattet, die man nacheinander eingeben muss. Positionen die man nicht ausfüllen möchte, sollte man mit einem '.' füllen. Die Felder lauten Country Name, State, Locality, Organization, Organizational Unit, Common Name, Email Address, A challenge passwort und optional company name. Offzielle Zertifizierungsstellen werden die Angaben wohl ignorieren und diese durch die von ihnen geprüften Informationen ersetzen.


Den CSR Schlüssel generiert man mit folgendem Aufruf.


openssl req -new -key server.key -out server.csr



In unserem Arbeitsverzeichnis müssten jetzt folgende drei Dateien zu finden sein.


server.csr , server.key, serverkey.mitpasswort



Per rechter Maustaste und unter Auswahl des Editors können wir uns den Inhalt der CSR Datei einmal anschauen.





Die Weiterverarbeitung der CSR Datei zu einem Zertifikat ist das Thema anderer Anleitungen.



Aufräumen


Wenn wir die Datensicherung vom privaten Schlüssel gespeichert haben und der ungeschützte private Schlüssel im Webserver eingesetzt ist, dürfen wir das Aufräumen nicht vergessen. Zumindest der ungeschützte private Schlüssel server.key sollte aus unserem Arbeitsverzeichnis gelöscht werden. Würde er wieder benötigt, kann man ihn jederzeit aus der passwortgeschützen Schlüsseldatei ableiten.




:qclub: