česky | deutsch | english

CAcert Client-Zertifikat - Schritt für Schritt

von Stefan Thode

In diesem Dokument wird beschrieben, wie man ein Zertifikat anfordert und es so vorbereitet, dass man eine PKCS#12-Datei erhält. In diesem Dokument habe ich das CAcert Testsystem verwendet. Die Verwendung ist ähnlich wie beim Produktivsystem.

Voraussetzungen

Importiertes und vertrauenswürdiges "CAcert Public Root Certificate" im Web-Browser. Installierter Zertifikatsmanager XCA http://sourceforge.net/projects/xca/ Aktiviertes Konto bei https://secure.cacert.org

Vorbereitung

Preface

Starten Sie XCA.

Erstellen Sie im Menü "Datei" über "Neue Datenbank" eine Zertifikatsdatenbank und speichern Sie diese in einer Datei. Verlieren Sie nicht Ihr Passwort für die neue Datenbank! Oder öffnen Sie eine bestehende Datenbank aus Ihrem Dateisystem.

Die Datenbank

Gehen Sie auf die Registerkarte "Zertifikate".

Roots importieren 1

Verwenden Sie "Import", damit XCA die Zertifikate von CAcert erkennt.

Roots import 2

Importieren Sie die "CAcert Public Root Certificates" "root" und "class3" in dieser Reihenfolge.

Roots import 3 - trust

Vertrauen Sie den importierten "CAcert Public Root Certificates" im Kontextmenü mit "Trust".

Privater Schlüssel

Privater Schlüssel 1

Gehen Sie in die Registerkarte "Private Schlüssel".

Privater Schlüssel 2

Verwenden Sie "Neuer Schlüssel" für einen neuen privaten Schlüssel.

Privater Schlüssel 3

Wählen Sie einen Namen für den neuen Schlüssel, der z. B. den Verwendungszweck enthält. Dieser Name ist nur für Ihre Referenz gedacht. Verwenden Sie einen sprechenden Namen des Schlüssels mit dem geplanten Zweck, damit Sie den Schlüssel für die Wiederverwendung dieses Zwecks identifizieren können. Weiterhin müssen Sie den Typ und die Stärke (Größe) des zu erzeugenden Schlüssels auswählen. Derzeit ist RSA mit 4096 Bit in Ordnung.

Privater Schlüssel 4

Der neue Private Key ist fertig und...

Privater Schlüssel 5

...erscheint in Ihrer Liste der privaten Schlüssel.

Certificate Signing Request - CSR

Zertifikatssignierungsanfrage 1

Für den nächsten Schritt gehen Sie auf die Registerkarte "Certificate signing requests".

Zertifikatssignierungsanfrage 2

Verwenden Sie "Neue Anfrage", um eine CSR zu erstellen.

Zertifikatsignierungsanfrage 3

Wählen Sie zunächst eine Zertifikatsvorlage und wenden Sie diese an, dann wählen Sie den Signaturalgorithmus.

Zertifikatssignierungsanforderung 4

Gehen Sie auf die Registerkarte "Betreff".

Certificate Signing Request 5

Wählen Sie den zu verwendenden privaten Schlüssel, fügen Sie den "Internen Namen" und die "emailAdresse" ein.

Im unteren Teil des Dialogs können Sie einen der vorhandenen privaten Schlüssel auswählen oder einen neuen Schlüssel erstellen, falls Sie vergessen haben, vor der CSR-Erstellung einen zu erstellen.

Certificate Signing Request 6

Optional können Sie Aliase in das Feld "X509v3 Subject Alternative Name" aufnehmen. Erstellen Sie den CSR mit "OK".

Certificate Signing Request 7

Die CSR ist fertig.

Signiervorgang

Signieren 1

Wählen Sie die neue CSR und "Exportieren".

Signieren 2

Speichern Sie die CSR in einer Datei im pem-Format mit der Endung .csr

Unterzeichnung 3

Öffnen Sie die CSR in einem Editor, markieren Sie ALL und kopieren Sie den Inhalt.

Signierung 4

Öffnen Sie die Website cacert.org und melden Sie sich bei Ihrem Konto an. Gehen Sie auf "Client-Zertifikate" und "Neu".

Unterzeichnung 5

Haben Sie im obigen Bild bemerkt, dass das Optionsfeld auf Klasse 3 steht? Andersherum funktioniert es nicht!

Aktivieren Sie die erweiterten Optionen und fügen Sie den CSR in den Textbereich ein.

Wählen Sie die E-Mail-Adressen und Ihren Namen aus, die enthalten sein sollen. Falls angezeigt, wählen Sie das Signierzertifikat (nur für Community-Mitglieder mit 50 AP oder mehr), mit dem Sie Ihr Zertifikat signieren möchten. Vorzugsweise sollten Sie hier die Zertifikatsoption Klasse 3 verwenden. Geben Sie einen Kommentar für das Zertifikat zur späteren Identifizierung ein. "Weiter"

Signierung 6

Als Ergebnis wird das neue Zertifikat im Browser angezeigt. Nutzen Sie den Link "Zertifikat im PEM-Format herunterladen", um das Zertifikat im pem-Format zu speichern.

Alternativ können Sie den kryptischen Textblock unten einschließlich der BEGIN/END CERTIFICATE-Zeilen für den direkten Import mit "Import (PEM)" in XCA auswählen.

Signing 7

Siehe das Zertifikat in "Client-Zertifikate" und "Ansicht".

Zertifikat importieren 1

Verwenden Sie "Importieren" in XCA, um das Zertifikatsergebnis von der CA zu importieren.

Zertifikat importieren 2

Der Import war erfolgreich.

Zertifikat importieren 3

Das Zertifikat wird unter dem zuvor ausgewählten Unterzeichnerzertifikat aufgeführt.

PKCS#12-Datei exportieren

Zertifikat exportieren 1

Wählen Sie Ihr neues Zertifikat aus und wählen Sie "Exportieren".

Zertifikat exportieren 2

Speichern Sie Ihren Zertifikatexport als PKCS#12 und

Zertifikat exportieren 3

...legen Sie ein Passwort fest, um Ihren privaten Schlüssel vor unbefugter Benutzung zu schützen. Dieses Passwort wird von Ihnen abgefragt, wenn Sie diese Datei in Ihren Browser oder Ihr Mailprogramm importieren.

Sie haben ein Zertifikat im PKCS#12-Format für den Import in Browser, E-Mail-Client, OS ...

Herzlichen Glückwunsch!