Heute ergreife ich mal die Chance etwas Definitionsreiterei zu betreiben, da ich im Umfeld feststellte, dass nicht klar ist, was ein selbstsigniertes Zertifikat ist und was sprachlich gesehen überhaupt ein Zertifikat ist.

Ein Zertifikat ist der beglaubigte öffentliche Schlüssel passend zu einem privaten. Man generiert also zuerst ein Schlüsselpaar, zu diesem Zeitpunkt darf man nun eigentlich für den öffentlichen Schlüssel nicht von Zertifikat sprechen, da es nicht signiert ist. Zunächst wird dann eine Zertifikatsanfrage (certificates request) erzeugt und an eine Zertifizierungsstelle (CA) gesendet. Zurück bekommt man ein Zertifikat, den eigenen nun beglaubigten öffentlichen Schlüssel.

An einem selbstsignierten Zertifikat (self sign certificate) ist keine CA beteiligt, auch keine eigene, nicht öffentliche. Es handelt sich auch hierbei um den öffentlichen, der jedoch durch den eigenen zugehörigen privaten signiert wird. Logischerweise sollen diese Zertifikate nur für den internen Testgebrauch verwendet werden, da ja keine dritte Instanz die Gültigkeit garantiert.

Ein solches selbstsigniertes Zertifikat ist schnell gebaut:

$ openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 365 -out certificate.pem

Demnach muss nun die Validierung gegen sich selbst wie folgt aussehen:

$ openssl verify -verbose -x509_strict -CAfile certificate.pem certificate.pem
certificate.pem: OK

Lennart Betz
Lennart Betz
Senior Consultant

Der diplomierte Mathematiker arbeitet bei NETWAYS im Bereich Consulting und bereichert seine Kunden mit seinem Wissen zu Icinga, Nagios und anderen Open Source Administrationstools. Im Büro erleuchtet Lennart seine Kollegen mit fundierten geschichtlichen Vorträgen die seinesgleichen suchen.