Offline-CA auspacken

  • Start: Nerdschloss-CA.<datum>.tar.gz.gpg
  • GPG-Paket entschlüsseln:
gpg -d Nerdschloss-CA.<datum>.tar.gz.gpg > Nerdschloss-CA.<datum>.tar.gz
  • Tar-Ball auspacken:
tar xzf Nerdschloss-CA.<datum>.tar.gz

neuen CSR prüfen

  • CN ausgeben:
openssl req -in hans\@moser.de.csr -text -noout | grep CN
  • bestätigt das Mitglied, dass der CSR von ihm ist?
  • ist das Mitglied tatsächlich die Person, für die der CSR ausgestellt ist?

CSR signieren

openssl x509 -req -days 365 -in hans\@moser.de.csr -CA nerdschloss-ca-2016-04-27.crt -CAkey nerdschloss-ca-2016-04-27.key -CAserial serial.txt -out hans\@moser.de.crt
  • Passphrase der CA wird abgefragt

CRT an Mitglied geben

  • Anm.: weder Vertraulichkeit noch Authentizität des CRT sind schützbedürftig - die Mail braucht also nicht verschlüsselt oder siginiert zu sein)

CRT in Apache-Config eintragen

  • TODO

CRT in Liste vermerken

  • Eintrag in liste-der-crts.txt ergänzen in der Art:
<Seriennummer> <status> <CN des CSR>
  • also z.B. so:
12 invalid Hans Moser/emailAddress=hans@moser.de
14 valid Hans Moser/emailAddress=hans@moser.de

Offline-CA einpacken

  • Tar-Ball mit aktuellem Datumsstempel erstellen:
tar czf Nerdschloss-CA.`date +%Y-%m-%d`.tar.gz Nerdschloss-CA
  • Tar-Ball verschlüsseln:
gpg -e -r justin@justinotherguy.org Nerdschloss-CA.<datum>.tar.gz
  • Ergebnis: Nerdschloss-CA.<datum>.tar.gz.gpg

lokale Kopien der CA löschen

  • unverschlüsselten Tar-Ball löschen:
rm Nerdschloss-CA.<datum>.tar.gz
  • ausgepackte CA löschen:
rm -rf ./Nerdschloss-CA
  • prüfen, ob alles weg ist:
ls -al
  • Ergebnis:
total 24
drwxr-xr-x  3 justin  staff   102  3 Mai 07:49 .
drwxr-xr-x  7 justin  staff   238  3 Mai 07:48 ..
-rw-r--r--  1 justin  staff  9798  3 Mai 07:48 Nerdschloss-CA.2016-05-03.tar.gz.gpg