Man erstellt zunächst eine Zertifizierungsstelle und deren Zertifikat. Diese verwendet man anschließend, um alle spezialisierten Zertifikate zu erstellen. YaST enthält ein Teilprogramm, das diese Arbeit vereinfacht.

Das CA-Zertifikat zertifiziert eine sogenannte Root-CA. Es gibt bereits die vorgegebene YaST-Default-CA. Die Laufzeit sollte lang genung sein, da alle damit erstellten Zertifikate ablaufen, wenn das Root-Zertifikat abläuft. Eine Laufzeit von 10 Jahren ist schon sehr sinnvoll.

Die Server-Zertifikate erstellt man innerhalb der Root-CA. Dazu muss man diese zunächst betreten.

Die unterschiedlichen Server stellen unterschiedliche Anforderungen an die Zertifikate, z.B. muss ein Apache-Zertifikat ohne Passwort sein, damit es ohne Passwortabfrage vom Server geladen werden kann.

Genaueres zu den Zertifikaten ist unter http://www.gymhim.de/dokuwiki/doku.php?id=admin:server:zertifikat zu finden.