Generera SSL certifikat i Debian Jessie

Denna guide beskriver hur man genererar sitt egna CA (Certificate Authority) certifikat och ett certifikat för en webserver i Debian Jessie. Vår domän i exemplen är example.com och vår webserver har hostname www.example.com.

Installera easy-rsa

Man kan generera alla certifikat direkt med openssl kommandon om man vill, men för att göra livet lite enklare kommer vi använda oss av lite skript från OpenVPN som heter easy-rsa:

Välj en plats där inställningar och certifikaten ska genereras.

Varning: Det är viktigt att de privata nycklarna inte faller i orätta händer. Välj därför en plats där vanliga användare inte har access. Det är också viktigt att du gör säkerhetskopior på certifikaten. Annars riskerar du behöva skapa nya ifall du tappar bort ditt CA certifikat.

Vi väljer att lägga dessa under /root:

Gå till easy-rsa mappen:

Generera CA certifikat

Kopiera filen vars och anpassa den för våra behov:

De variabler vi ändrar på är (anpassa enligt dina uppgifter):

export KEY_COUNTRY="SE"
export KEY_PROVINCE="<Landskap/Kommun>"
export KEY_CITY="<Stad>"
export KEY_ORG="example.com"
export KEY_EMAIL="root@example.com"
#export KEY_OU="MyOrganizationalUnit"
export KEY_NAME="root"

Varning: Följande kommandon raderar alla nycklar under keys mappen. Se till att inga nycklar du vill spara ligger där.

Läs in dina inställningar, radera alla tidigare genererade certifikat och skapa ditt CA certifikat:

Bygg nödvändiga Diffie-Hellman parametrar:

Generera server certifikat

Förutsätter att vi har skapat vårt CA certifikat. För att skapa ett server certifikat för www.example.com kör kommandot i easy-rsa katalogen:

Följande filer har nu skapats i keys mappen:

• www.example.com.crt
• www.example.com.csr (Certificate Signing Request)
• www.example.com.key (privat nyckel)