mehr als nur ein Notizblock

Ges­tern musste ich fest­stel­len, das mein Exch­ange keine Mails mehr an mein Mail-Gateway ver­schickt. Nach einer Weile habe ich dann bemerkt, das das Zer­ti­fi­kat abge­lau­fen ist. Da sich inzwi­schen durch den Schwenk auf einen ande­ren vSer­ver auch die CA geän­dert hat, wollte ich in dem Zuge gleich alles gerade rücken.

Mit mei­nem schon bekann­ten Zertifikate-Skript habe ich pro­blem­los ein neues Zer­ti­fi­kat für den Exch­ange ausgestellt

Jetzt aber muss das Zer­ti­fi­kat in ein für den Exch­ange les­ba­res For­mat gewan­delt wer­den. Dazu expor­tie­ren wir den pri­va­ten wie auch den öffent­li­chen Teil des Zer­ti­fi­kats als PK12

openssl pkcs12 -export -in /etc/ssl/cert.pem -inkey /etc/ssl/private/key.pem -out /etc/ssl/windows.p12

Und natür­lich muss auch das neue Zer­ti­fi­kat der Root-CA mit. Dazu reicht es aber das schon erstellte PEM-File zu kopieren.

Wei­ter­le­sen

Wenn man mit https seine Web­sei­ten bzw. deren Kom­mu­ni­ka­tion oder aber das Sen­den von Emails über SSL absi­chert, dann kommt man nicht drum­herum ab und an ein neues Zer­ti­fi­kat aus­zu­stel­len. Da ich das nicht jeden Tag mache und mich dann immer wie­der tot­su­che, habe ich mir ein klei­nes Skript geschrieben:

#! /bin/sh
cd /etc/ssl
openssl req -new -nodes -out $1-req.pem -keyout private/$1-key.pem -config ./openssl.cnf
openssl ca -out $1.pem -config ./openssl.cnf -infiles $1-req.pem
openssl x509 -in $1.pem -out $1-cert.pem

Update: Damit ich das Skript sys­tem­weit ver­wen­den kann lege ich es nach /usr/local/bin als create_certs und mache es mit dem Befehl

chmod g+x /usr/local/bin/create_certs

aus­führ­bar.

Update 2: Warum hat mir eigent­lich kei­ner gesagt, das die tem­po­räre Datei $1.pem, die in der drit­ten openssl-Zeile benö­tigt wird um aus dem Request ein fer­ti­ges Zer­ti­fi­kat zu machen, natür­lich am Ende des Skripts gelöscht wer­den kann? Ein

rm $1.pem

in der letz­ten Zeile sollte reichen.