ist es derzeit möglich ein vertrauenswürdiges selbssigniertes Zertifikat mit eigener CA zu erstellen?
Für wen Vertrauenswürdig? Für dich selbst ja, für alle anderen nein. Ansonsten musst du eine Firma gründen die bei allen bekannt wird damit deine Zertifikate anerkannt wird.
Mach doch einfach eins per LE: https://github.com/acmesh-official/acme.sh
Danke für die schnelle Antwort.
Für mich vertrauenswürdig.
HTTPS wird nur für das interne Netzwerk benötigt.
Link teste ich am WE und meld mich 
Kurze Frage noch vorab:
Kann man eine eigene CA mit acme erstellen, oder muss man auf "öffentliche" (lets encrypt etc.) zurückgreifen?
HTTPS wird nur für das interne Netzwerk benötigt.
Link teste ich am WE und meld mich
Dann wird das mit LE eher schwierig werden weil du ja deine Domain verifizieren musst.
acme ist nur für offizielle Zertifikate, es macht keinen Sinn für eigene Zertifikate; denn dann könnte man Zertifikate auch gleich weg lassen.
Deshalb meine Frage
Das Ziel ist es, meinen internen Traffic zu verschlüsseln.
Schön wäre dann noch, wenn der Browser nicht meckert. Deshalb die selbst erstellte CA.
Nach meinem Wissen sollte das so funktionieren:
Erstelle CA
Importiere CA in Browser bzw. Client-System
Erstelle Zertifikate
usw.
Danach sollte der Browser ohne Warnung auf den Server zugreifen können
Das einzige was du damit umgehst ist das anzeigen der selbst signiert Meldung, du hast sonst keinen Gewinn. Würd ich persönlich nicht machen ein selbst signiertes Zertifikat in den Browser einpflegen.
Deshalb meine Frage
Die Idee ist gut, mich nervt das auch immer das man intern nicht SSL machen kann.
Habe mir selber ein eigenes Zertifikat gemacht für meinen Router.
ja genau, der sollte auch eins bekommen.
Das ist schon sinnvoll
Vielleicht einfach eine ganz dume Anmerkung. Wenn man bei Firefox ein neues root Zertifikat hibzufügt, ist die Checlbox "Zertifikat für vertrauensüwrdigre Webseiten verwendet" (sinngemäss aus dem Kopf) nicht vorausgewählt.
Wenn man da etwas hastig durchgeht, hat man das root Zertifikat importiert aber Firefox bleibt bei "nicht sicher" warnungen.
So etwas verspätet (dem schönen Wetter geschuldet).
Ich konnte nun ein vertrauenswürdiges Zertifikat erstellen.
Erstellt wurde dieses einmal für den FritzBox-Router und einmal für ein NAS.
Einrichten einer Zertifizierungsstelle (CA) -
CA Schlüssel
openssl genrsa -aes256 -out ca-key.pem 4096
chmod 600 ca-key.pem
CA-Zertifikat erstellen:
openssl req -x509 -new -nodes -extensions v3_ca -key ca-key.pem -days xxxx -out ca-cert.pem -sha512
Zertifikat in Client-System integrieren:
sudo cp ca-key.pem /usr/share/ca-certificates/ca-key.crt
sudo dpkg-reconfigure ca-certificates (Name des Zertifikates auswählen mit Leertaste anwählen, danach TAB und bestätigen)
Erstellung signiertes Zertifikat
Privater Schlüssel
openssl genrsa -out example-one-de.key 4096
openssl req -new -key example-one-de.key -out example-one-de-cert.csr -sha512
Bei der Abfrage bei CN (bei der Fritzbox): fritz.box
Bei der Abfrage bei CN (für die anderen Geräte des Lans): *.fritz.box
Schlüsselzertifikat
openssl x509 -req -in example-one-de-cert.csr -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -out example-one-de-pub.crt-pem -days XXX
cat example-one-de.key example-one-de-pub.crt-pem > fritzbox.merge (dies ist lediglich bei der Fritzbox notwendig)
Upload in der Fritzbox:
Internet -> Freigaben -> Fritz!Box-Dienste
Unter Umständen muss man nochmals im Browser testen, ob die CA importiert wurde.
Falls nicht, bei der Zertifizierungsstelle nochmal die ca-cert.pem im Browser importieren.
In meinem Fall wurde LibreWolf als Browser verwendet.
Vielen Dank für Eure HILFE!!!!! 
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!
