Start: Nerdschloss-CA.<datum>.tar.gz.gpg
GPG-Paket entschlüsseln:
gpg -d Nerdschloss-CA.<datum>.tar.gz.gpg > Nerdschloss-CA.<datum>.tar.gz
Tar-Ball auspacken:
tar xzf Nerdschloss-CA.<datum>.tar.gz
CN des CSR ausgeben:
openssl req -in hans\@moser.de.csr -text -noout | grep CN
CSR signieren
openssl x509 -req -days 365 -in hans\@moser.de.csr -CA nerdschloss-ca-2016-04-27.crt -CAkey nerdschloss-ca-2016-04-27.key -CAserial serial.txt -out hans\@moser.de.crt
CRT an Mitglied geben
Anm.: weder Vertraulichkeit noch Authentizität des CRT sind schützbedürftig - die Mail braucht also nicht verschlüsselt oder siginiert zu sein)
CRT in Apache-Config eintragen
CRT in Liste vermerken
<Seriennummer> <status> <CN des CSR>
12 invalid Hans Moser/emailAddress=hans@moser.de
14 valid Hans Moser/emailAddress=hans@moser.de
Offline-CA einpacken
tar czf Nerdschloss-CA.`date +%Y-%m-%d`.tar.gz Nerdschloss-CA
gpg -e -r justin@justinotherguy.org Nerdschloss-CA.<datum>.tar.gz
lokale Kopien der CA löschen
rm Nerdschloss-CA.<datum>.tar.gz
rm -rf ./Nerdschloss-CA