Will man Zertifikaten verwenden, so muss erst ein sogenannter Zertifikatsrequest erstellt werden. Dafür legt man eine Datei mit den Spezifikationen des Zertifikats an.
/etc/ssl/req.conf
[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no
[req_distinguished_name]
C = DE
ST = Bundesland
L = Stadt
O = Organisation
OU = IT-Abteilung
CN = go.domain.de
[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = test1.domain.de
DNS.2 = go.domain.de.de
DNS.3 = test2.domain.deIst das erledigt, erstellt man mit openssl einen Zertifikatsrequest.
openssl req -new -out domain.de.csr -key domain.de.key -config req.conf
Die entstandene CSR schickt man dann seinem Zertifikatsanbieter. Dieser stellt dann das offizielle Zertifikat aus und sendet dieses in den unterschiedlichsten Formaten als ZIP Datei zurück. Viele Geräte, unter anderem FortiGate oder auch die Cisco ASA benötigen ein Zertifikat in dem Format PKCS12. Das enthaltene Zertifikat mit der Endung *.crt muss demzufolge umgewandelt werden. Das macht man ganz entspannt mit dem Tool XCA. Dazu einfach eine neue Datenbank anlegen -> Private Key importieren -> Zertifikat *.crt importieren und dann das Zertifikat als PKCS12 exportieren.
Fertig!