Sicherheit in der digitalen Welt ist von größter Bedeutung, und Zertifikate sowie Public Key Infrastrukturen (PKI) spielen dabei eine zentrale Rolle. Ob bei der Absicherung von Webseiten (HTTPS), der E-Mail-Verschlüsselung oder beim Schutz von Netzwerkverbindungen: Zertifikate sind entscheidend, um Vertrauen zu schaffen und sichere Verbindungen zu gewährleisten. In diesem Beitrag werden wir uns anschauen, wie Zertifikate und PKI in der Linux-Welt funktionieren und wie man sie verwendet.
Was ist ein Zertifikat?
Ein Zertifikat ist eine digitale Datei, die die Identität eines Servers, einer Person oder einer Organisation bestätigt. Es wird von einer Zertifizierungsstelle (CA, Certificate Authority) ausgestellt, die garantiert, dass die im Zertifikat angegebenen Informationen korrekt sind. Ein Zertifikat enthält in der Regel folgende Informationen:
- Den öffentlichen Schlüssel (Public Key) des Zertifikatsinhabers.
- Den Namen des Zertifikatsinhabers (z. B. den Domainnamen für Webserver-Zertifikate).
- Die Gültigkeitsdauer des Zertifikats.
- Die digitale Signatur der Zertifizierungsstelle.
Public Key Infrastruktur (PKI)
Die Public Key Infrastruktur ist ein System, das die Erstellung, Verwaltung, Verteilung, Speicherung und Sperrung digitaler Zertifikate ermöglicht. PKI basiert auf der Verwendung von asymmetrischer Verschlüsselung, bei der zwei Schlüssel genutzt werden: Ein öffentlicher Schlüssel (Public Key), der frei verteilt wird, und ein privater Schlüssel (Private Key), der geheim gehalten wird.
PKI besteht aus verschiedenen Komponenten:
- Zertifizierungsstellen (CA): Stellen Zertifikate aus und signieren sie.
- Registrierungsstellen (RA): Überprüfen die Identität der Zertifikatsantragsteller.
- Verzeichnisdienste: Speichern und verteilen Zertifikate und Zertifikatsperrlisten (CRLs).
- Sperrlisten (CRLs): Listen gesperrte oder abgelaufene Zertifikate auf.
Verwendung von Zertifikaten und PKI unter Linux
1. OpenSSL – Das wichtigste Werkzeug
OpenSSL ist das zentrale Werkzeug unter Linux, um Zertifikate und PKI zu verwalten. Es unterstützt die Erstellung von Schlüsselpaaren, Zertifikaten und die Signierung von Zertifikatsanfragen.
Erstellung eines Schlüsselpaares
Zuerst benötigen Sie ein Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel:
openssl genrsa -out private_key.pem 2048Dies erstellt einen privaten Schlüssel mit einer Länge von 2048 Bit.
Erstellung einer Zertifikatsignierungsanforderung (CSR)
Als nächstes erstellen Sie eine Zertifikatsignierungsanforderung (CSR), die Sie an eine Zertifizierungsstelle (CA) senden, um ein Zertifikat zu erhalten:
openssl req -new -key private_key.pem -out cert_request.csrWährend dieses Prozesses werden Sie aufgefordert, verschiedene Informationen wie Ihren Domainnamen und Ihre Organisation einzugeben.
Erstellung eines selbstsignierten Zertifikats
Falls Sie keine externe Zertifizierungsstelle verwenden möchten, können Sie ein selbstsigniertes Zertifikat erstellen. Dies ist sinnvoll für private Netzwerke oder Testumgebungen:
openssl req -x509 -days 365 -key private_key.pem -in cert_request.csr -out my_certificate.crtDieses Zertifikat ist für 365 Tage gültig. Beachten Sie jedoch, dass selbstsignierte Zertifikate außerhalb Ihrer Umgebung möglicherweise als unsicher eingestuft werden.
2. Zertifikatsverwaltung
Zertifikate müssen auf den Linux-Systemen korrekt installiert und verwaltet werden. Hier ein Überblick, wie Zertifikate auf verschiedenen Ebenen verwendet werden können.
Webserver (Apache/Nginx)
Um HTTPS zu ermöglichen, muss ein Webserver wie Apache oder Nginx ein gültiges Zertifikat verwenden.
Apache Beispielkonfiguration:
<VirtualHost *:443>
ServerName www.example.com
SSLEngine on
SSLCertificateFile /etc/ssl/certs/my_certificate.crt
SSLCertificateKeyFile /etc/ssl/private/private_key.pem
SSLCertificateChainFile /etc/ssl/certs/intermediate.crt
</VirtualHost>Nginx Beispielkonfiguration:
server {
listen 443 ssl;
server_name www.example.com;
ssl_certificate /etc/ssl/certs/my_certificate.crt;
ssl_certificate_key /etc/ssl/private/private_key.pem;
}Verwalten von Zertifikaten in System Trust Stores
Unter Linux werden Zertifikate häufig im Verzeichnis /etc/ssl/certs gespeichert. Diese Zertifikate stehen allen Anwendungen zur Verfügung, die das System-Trust-Store verwenden, wie etwa curl, wget, und viele andere.
Sie können neue Zertifikate zu diesem Verzeichnis hinzufügen, indem Sie sie dorthin kopieren und anschließend den Trust-Store aktualisieren:
sudo cp my_certificate.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates3. Verwaltung von PKI
In größeren Netzwerken oder Unternehmen ist der Einsatz einer eigenen PKI empfehlenswert. Hierzu können Tools wie FreeIPA oder OpenVPN verwendet werden. Diese Tools bieten eine einfache Verwaltung von Benutzerzertifikaten, Serverzertifikaten und der kompletten PKI-Struktur.
FreeIPA ermöglicht beispielsweise die einfache Verwaltung von Benutzerzertifikaten und deren Berechtigungen im Netzwerk.
ipa cert-request --principal=testuser --profile-id=caServerCert --out=testuser.pemMit solchen Tools können Sie eine gesamte Infrastruktur sicher verwalten.
Fazit
Zertifikate und Public Key Infrastrukturen sind unverzichtbare Bestandteile moderner IT-Sicherheitslösungen, sowohl im Internet als auch in lokalen Netzwerken. Unter Linux stehen eine Vielzahl von Tools und Technologien zur Verfügung, die die Verwaltung von Zertifikaten und PKI vereinfachen. OpenSSL ist dabei das wichtigste Werkzeug für den Umgang mit Zertifikaten, während Webserver und andere Anwendungen durch die Integration von Zertifikaten sichere Verbindungen ermöglichen. Wer größere Netzwerke verwaltet, sollte den Einsatz von PKI-Lösungen wie FreeIPA in Betracht ziehen, um eine sichere und einfache Verwaltung von Zertifikaten zu gewährleisten.
Durch den Einsatz von Zertifikaten stellen Sie sicher, dass Daten verschlüsselt und vertrauenswürdig übertragen werden, was einen erheblichen Beitrag zur Sicherheit Ihrer Systeme leistet.