OpenSSL - Aanmaken self-signed certificaat

Soms kan het voldoende zijn een certificaat te gebruiken dat niet vertrouwd wordt door browsers, zoals een machine to machine verbinding, of als het certificaat gebundeld wordt in een installatie package zoals bij een VPN profiel. In deze situaties kun je ook een self-signed certificaat gebruiken die je zelf aanmaakt.

Volg hiervoor de volgende stappen:

  1. Maak met behulp van SSH verbinding met de server en log in als root. Dit kun je bijvoorbeeld doen met Putty.
  2. Ga met behulp van het cd-commando (cd verwijst naar change directory en "bladert" naar een andere map en maakt deze actief) naar de map waar de certificaten moeten worden bewaard:

    [root@server]# cd /etc/ssl/cert/

  3. Met het volgende commando genereer je een Private Key en een self-signed certificaat:
    [root@server cert]# openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout www_sslcertificaten_nl.key -out www_sslcertificaten_nl.crt
    Let op: vervang www_sslcertificaten_nl door de domeinnaam waarvoor het certificaat wordt aangevraagd.

  4. Voer de gevraagde gegevens in. Deze gegevens worden normaliter gebruikt voor het aanvragen van het SSL Certificaat, echter is het bij een self-signed certificaat niet van belang of de ingevoerde informatie correct is. Voor sommige velden is er een standaardwaarde, deze is weergegeven tussen brackets ( [standaard waarde] ).
    • Country Name (2 letter code) [AU]: NL
    • State or Province Name (full name) [Some-State]: Noord-Holland
    • Locality Name (eg, city) []: Heerhugowaard
    • Organization Name (eg, company) [Internet Widgits Pty Ltd]: Xolphin B.V.
    • Organizational Unit Name (eg, section) []: ICT
    • Common Name (eg, YOUR name) []: www.sslcertificaten.nl
    • Email Address []
    • A challenge password []:
    • An optional company name []:

    Bij de Common Name (CN) geef je de naam van de webserver op zoals de client deze zal gaan aanspreken. In de meeste gevallen is dit een volledige domeinnaam zoals bijvoorbeeld: www.hierjedomeinnaam.nl
    Dit hoeft overigens geen geregistreerde domeinnaam te zijn. Voor self-signed certificaten is elke domeinnaam toegestaan.

    Let op: Laat je dus niet in de war brengen door (eg. YOUR name). Hier vul je NIET je eigen naam in.

    Bij de vraag om een challenge password in te voegen klik je direct op enter om deze stap over te slaan. Door het ingeven van een challenge password zal bij het starten van de webserver altijd om het wachtwoord worden gevraagd.

    OpenSSL genereert nu twee bestanden: de Private Key en het self-signed certificaat.

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.