Veröffentlicht am von mike@kainer.net

Erstellen eines selbst signierten Zertifikats für KEMP

Kemp fungiert als Load Balancer, der wie ein digitaler Verkehrspolizist wirkt. Du benötigst ihn, um:

Sicherheit zu erhöhen: Er prüft Anfragen vorab und übernimmt die SSL-Verschlüsselung, um deine Infrastruktur zu entlasten.
Ausfälle zu verhindern: Er leitet Nutzer automatisch auf funktionierende Server um, falls einer streikt.
Speed zu garantieren: Er verteilt die Last gleichmäßig, damit kein Server überlastet.

1. OpenSSL Installation (Windows)

Nutze die PowerShell als Administrator, um OpenSSL schnell zu installieren:

  • Via Winget: winget install openssl
  • Alternativ: Download der Binaries von Shining Light Productions.
  • Hinweis: Nach der Installation ggf. die PowerShell neu starten, damit der openssl Befehl im Pfad bekannt ist.

2. Zertifikat und Key generieren

Führe den folgenden Befehl aus. Er erstellt gleichzeitig den privaten Schlüssel und das 10-Jahres-Zertifikat (3650 Tage).

openssl req -x509 -nodes -days 3650 -newkey rsa:2048 ^
  -keyout mkairsrvlb01.key ^
  -out mkaisrvlb01.crt ^
  -subj "/C=AT/ST=Tirol/L=Woergl/O=MichaelKainer/CN=mkaisrvlb01.kainer.net" ^
  -addext "subjectAltName=DNS:mkaisrvlb01.kainer.net,DNS:mkaisrvlb01"

Ergänzung: Ich habe den Kurznamen (Hostname) im subjectAltName ergänzt, damit das Zertifikat auch bei Aufruf ohne FQDN im Browser gültig bleibt.

3. Import und Zuweisung im KEMP

Navigiere im Web-Interface des KEMP Loadmasters zu folgenden Punkten:

3.1 Import

  1. Certificates & SecuritySSL CertificatesImport Certificate.
  2. Certificate File: mkaisrvlb01.crt auswählen.
  3. Key File: mkaisrvlb01.key auswählen.
  4. Passphrase: Leer lassen (da -nodes verwendet wurde).
  5. Identifier: Vergeben Sie einen Namen (z. B. mkaisrvlb01-2026).
  6. Klick auf Save.

3.2 Zuweisung (Management)

  1. Certificates & SecurityAdministrative Certificates.
  2. Wählen Sie das neue Zertifikat im Dropdown aus.
  3. Klicken Sie auf Use Certificate, um das Web-Interface des KEMP abzusichern.

4. Trust am Client herstellen (Windows)

Damit der Browser die Verbindung als „Sicher“ einstuft, muss das Zertifikat auf dem zugreifenden PC importiert werden:

  1. Win + R drücken, certlm.msc eingeben (Lokaler Computer).
  2. Navigieren zu: Vertrauenswürdige StammzertifizierungsstellenZertifikate.
  3. Rechtsklick → Alle AufgabenImportieren.
  4. Wählen Sie die Datei mkaisrvlb01.crt aus und schließen Sie den Assistenten ab.

Pro-Tipp für die Bereitstellung

Wenn Sie viele Clients haben, verteilen Sie die .crt-Datei am besten via Group Policy (GPO) unter Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für öffentliche Schlüssel.

Datenschutzerklärung Stolz präsentiert von WordPress