Private-Key und self-signed Zertifikat können natürlich auch mit OpenSSL erzeugt werden. Dabei ist zu beachten das beide im DER Format (binäres Format) erzeugt werden. Es gibt verschiedene Möglichkeiten die Dateien zu erzeugen.

Wir erzeugen zunächst einen RSA Private-Key mit dem Kommando „openssl genrsa“, mit einer Länge von 4096 Bits:

# openssl genrsa -out privkey.pem 4096
# 

Hinweis: Die Datei wird im PEM Format erzeugt.

Wir empfehlen die Private-Key Datei mit einem Passwort zu versehen. Dazu kann man z.B. die Cipher AES192 über die zusätzliche Option „-aes192“ verwenden:

# openssl genrsa -out privkey.pem -aes192 4096
Enter PEM pass phrase: XXXXXXXX
Verifying - Enter PEM pass phrase: XXXXXXXX
#

Zur Verwendung durch Trusted Execution muss die Private-Key Datei aber in das binäre DER Format konvertiert werden. Dazu kann das Kommando „openssl rsa“ verwendet werden. Wir zeigen hier lediglich die Konversion nach DER mit Vergabe eines Passworts für die neue Private-Key Datei im DER Format:

# openssl rsa -in privkey.pem -outform DER -out privkey.der -aes192
Enter pass phrase for privkey.e.pem: XXXXXXXX
writing RSA key
Enter pass phrase: YYYYYYYY
Verifying - Enter pass phrase: YYYYYYYY
# 

Hinweis: Soll die Private-Key Datei ohne Passwort erzeugt werden, muss die Option „-aes192“ weggelassen werden. Anstelle von AES192 als Cipher für die Verschlüsselung können auch andere unterstützte Ciphers verwendet werden.

Die erste Abfrage nach einem Passphrase erscheint nur, falls die zu konvertierende Private-Key Datei mit einem Passwort geschützt war.

Das self-signed Zertifikat kann dann mit Hilfe des erzeugten Private-Keys generiert werden, wichtig ist die Option „-outform DER“, damit das Zertifikat im binären DER Format erzeugt wird:

# openssl req -new -x509 -key privkey.der -outform DER -out cert.der -days 365
Enter pass phrase for privkey.der:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Bavaria
Locality Name (eg, city) []:Munich
Organization Name (eg, company) [Internet Widgits Pty Ltd]:PowerCampuse 01
Organizational Unit Name (eg, section) []:AIX
Common Name (e.g. server FQDN or YOUR name) []:Security
Email Address []:
# 

Hinweis: Die Abfrage nach dem Passphrase erscheint nur, falls die angegebene Private-Key Datei durch ein Passwort geschützt ist.

Das im Beispiel generierte self-signed Zertifikat hat eine Gültigkeit von 365 Tagen.

Private-Key und Zertifikat können dann für das Hinzufügen von eigenen Dateien zur TSD verwendet werden. Der Private-Key wird dann für die Generierung der Signatur der Dateien verwendet.