Moin,
ich selbst habe mit xca zwar privat keine Projekte realisiert, gebe dir allerdings nur einen Rat auch an die CRL zu denken.
Ohne die Prüfung ob ein Zertifikat revoked wurde oder nicht, spielt bei vielen Applikationen eine wichtige Rolle. Und das zurecht!

https://hohnstaedt.de/xca-doc/html/revocationlist.html

Daher ist es eigentlich viel einfacher über LetsEncrypt was zu realisieren...

Gruß
Eddii

Was möchtest Du mit dem Zertifikat denn erreichen?
Mit dem Tool kannst Du Dir eine persönliche PKI-Infrastruktur aufbauen.
Das bedeutet aber auch, dass Du die Root-Zertifikate selbst auf allen Endgeräten verteilen musst!

Wo ist da der Vorteil im Vergleich zu einem selbst signierten Zertifikat?

Hallo miteinander

... oder zu LetsEncrypt...

Oder wenn man das haben möchte auch LetsEncrypt...

Moin,

sorry war ein paar Tage nicht zu erreichen. Ich glaube wir verwechseln hier was. Über den Reverseproxy beziehen ich für die Domain ein SSL Zertifikat über Let`s Encrypt. Es geht hier um zusätzliche Absicherung mit einem Clientzertifikat, so dass ich bzw. jeder der einen Zugang und das passende Zertifikat hat auf den Server kann.
Bisher hatte ich das über eine CA auf dem Proxy gemacht. Ich wollte aber nicht jedes Mal alles in der Konsole machen. Deshalb der Versuch das evtl. über XCA auszugliedern....

Ich hoffe das ist ein wenig verständlicher jetzt was ich vorhabe.

Grüße

Ich nutze XCA erfolgreich für das Erstellen von Client-Zertifikate für Apache Authentifizierung, als auch für die on-demand VPN auf IOS. Letztlich ist XCA nichts anderes, als eine GUI für OpenSSL

Diese Konstellation nutze ich auch exakt so, wie Du vor hast Skyracer .
Schau doch mal in diesen Thread, da ist auch meine nginx-Konfiguration zu sehen.
Kommst Du mit den Beiträgen der anderen und mir weiter?

Aus meiner Sicht benötigst Du aber auch keine Sub-CA, sondern nur eine CA, welche dann die Client-Zertifikate ausstellt.
CRL ist nicht unbedingt notwendig, wenn Du keines Deiner Zertifikate oder Endgeräte verloren hast.

Glotzkowski

Ja die Seite kannte ich schon aber irgendwie hat die zumindest bei mir nicht zum Erfolg geführt.
Ich kann ja einmal meine Steps beschreiben, evtl. findet ja jemand meinen Fehler.

1. Neues Zertifikat "Root CA" erstellt mit dem Template [default] CA. Auf alles übernehmen klicken und unter Inhaber/Erweiterungen die Namensfelder und Zeitspanne ausgefüllt/angepasst. Zusätzlich einen neuen Schlüssel erstellt.
2. Neues Zertifikat "User" erstellt mit dem Template [default] TLS_Client unter der Root CA. Auf alles übernehmen klicken und unter Inhaber/Erweiterungen die Namensfelder und Zeitspanne ausgefüllt/angepasst. Zusätzlich einen neuen Schlüssel erstellt.
3. Root CA Zertifikat exportiert als edomi.crt (Exportformat PEM (*.crt) ) und auf dem ReverseProxy unter /etc/ssl/ca_extern/ abgelegt.
4. User Zertifikat exportiert als user.p12 (Exportformat PKCS #12(*.pfx) ) und auf dem jeweiligen Endgerät ausgeführt.
5. Im Reversproxy in der jeweiligen Conf folgendes eingetragen:

Meiner Meinung nach sollte das so passen. Ich bekomme aber trotzdem den Fehler 400 Bad Request / The SSL certificate error

Grüße

Die Vorgehensweise sieht für mich korrekt aus.

Sehen die Attribute im Zertifikat für die CA und den Client auch so aus?

ca-cert.png client-cert.png

Gibt es in der Datei für das CA-Zertifikat nur ein Zertifikat, welches mit "-----BEGIN CERTIFICATE-----" beginnt?

So kurze Rückmeldung das es läuft. Letztendlich hat ein einfacher Serverneustart geholfen. Hatte sonst immer nur den Nginx rebootet....

Grüße und danke....