Spezifikationen
· oder auf "TLS v1.2 only" konfigurieren
Erstellen eigener Zertifikate
Der SSL Stack wird mit einem eigens neu generierten self-signed Zertifikat ausgeliefert.
Es gibt keine Funktion, um das lokale Zertifikat auf Knopfdruck neu zu erzeugen, da die
benötigten Zufallszahlen in einem Embedded Device meist nicht unabhängig genug sind.
Man kann jedoch selbst neue Zertifikate erzeugen und auf das Gerät importieren. Der
Server akzeptiert RSA (2048/4096) und ECC (Elliptic Curve Cryptography) Zertifikate.
Zum Erstellen eines SSL-Zertifikats wird meist OpenSSL verwendet. Für Windows gibt
es z.B. die Light-Version von Shining Light Productions. Dort eine Eingabeaufforderung
öffnen, in das Verzeichnis "C:\OpenSSL-Win32\bin" wechseln und diese Environment
Variablen setzen:
set openssl_conf=C:\OpenSSL-Win32\bin\openssl.cfg
set RANDFILE=C:\OpenSSL-Win32\bin\.rnd
Hier einige Beispiele zur Generierung mit OpenSSL:
Erstellung eines RSA 2048-Bit self-signed Zertifikats
openssl genrsa -out server.key 2048
openssl req -new -x509 -days 365 -key server.key -out server.crt
RSA 2048-Bit Zertifikat mit Sign Request:
openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr
openssl req -x509 -days 365 -key server.key -in server.csr -out server.crt
Die Server Keys sollten mit "openssl genrsa" erzeugt werden. Das Gude Gerät ver-
arbeitet Keys im traditionellen PKCS#1 Format. Dies erkennt man, in dem in der erzeug-
ten Schlüsseldatei am Anfang "-----BEGIN RSA PRIVATE KEY-----" steht. Beginnt die
Datei mit "-----BEGIN PRIVATE KEY-----", ist die Datei im PKCS#8 Format, und der
Schlüssel wird nicht erkannt. Hat man nur einen Schlüssel im PKCS#8 Format, kann
dieser z.B. mit openssl nach PKCS#1 konvertiert werden: "openssl rsa -in pkcs8.key -
out pkcs1.key".
ECC Zertifikat mit Sign Request:
openssl ecparam -genkey -name prime256v1 -out server.key
openssl req -new -key server.key -out server.csr
openssl req -x509 -days 365 -key server.key -in server.csr -out server.crt
Hat man Schlüssel und Zertifikat erstellt, werden beide Dateien zu einer Datei aneinan-
dergehängt:
Linux:
cat server.crt server.key > server.pem
65
Expert Power Control 8316
© 2022 GUDE Systems GmbH