Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungNächste ÜberarbeitungBeide Seiten der Revision |
opensslcert [2016/11/29 10:07] – [Zertifikat und privaten Schlüssel installieren] af1055 | opensslcert [2019/04/10 12:05] – [Schlüsselpaar generieren] mt1051 |
---|
* Die Abteilung ist das Rechenzentum | * Die Abteilung ist das Rechenzentum |
* Der Schlüsselbund zur Aufbewahrung der eigenen Schlüssel sei /var/lib/.keystore\\ (unter Windows üblicherweise C:\Dokumente und Einstellungen\(Benutzername)\.keystore) | * Der Schlüsselbund zur Aufbewahrung der eigenen Schlüssel sei /var/lib/.keystore\\ (unter Windows üblicherweise C:\Dokumente und Einstellungen\(Benutzername)\.keystore) |
* Der Schlüssel soll auf hohe Sicherheit (Länge 2048 Bit) eingestellt sein | * Der Schlüssel soll auf hohe Sicherheit (Länge 4096 Bit) eingestellt sein. |
* Der Gültigkeitszeitraum wird auf die maximale von der Uni-FR CA akzeptierten Zeitdauer von 5 Jahren (1825 Tage) konfiguriert | * Bis 2020 kann auch ein neues Zertifikat mit 2084 Bit Schlüssellänge erstellt werden. Das Zertifikats darf dann allerdings nach BSI-Richtlinien nur bis maximal 31.12.2022 gültig sein. |
| * **Spätestens ab 2020 muss bei einem neuen Zertifikat eine Schlüssellänge von 4096 Bit verwendet werden.** |
| * Der Gültigkeitszeitraum wird auf die maximale von der Uni-FR CA akzeptierten Zeitdauer von 2 Jahre (730 Tage) konfiguriert |
\\ | \\ |
Es soll hier ein Schlüsselpaar inclusive einem selbstsignierten Zertifikat mit folgendem eindeutigen Name erzeugt werden: | Es soll hier ein Schlüsselpaar inclusive einem selbstsignierten Zertifikat mit folgendem eindeutigen Name erzeugt werden: |
<code> | <code> |
ohne Passwortschutz: | ohne Passwortschutz: |
$ openssl genrsa -out /var/lib/.keystore 2048 | $ openssl genrsa -out /var/lib/.keystore 4096 |
| |
mit Passwortschutz: | mit Passwortschutz: |
$ openssl genrsa -des3 -out /var/lib/.keystore 2048 | $ openssl genrsa -des3 -out /var/lib/.keystore 4096 |
enter des-ede3-cbc encryption password: ***** | enter des-ede3-cbc encryption password: ***** |
Verifying - enter des-ede3-cbc encryption password: ***** | Verifying - enter des-ede3-cbc encryption password: ***** |
Die Datei server1.csr können Sie im Web-Interface der Uni-FR CA | Die Datei server1.csr können Sie im Web-Interface der Uni-FR CA |
| |
* **https://pki.pca.dfn.de/uni-freiburg-ca/pub** | **[[https://pki.pca.dfn.de/dfn-ca-global-g2/cgi-bin/pub/pki?cmd=pkcs10_req;id=1;menu_item=2;XSEC=5e540869bd1c44454fc8a2667907002c50f03e67e4fb4cae29639d6a878f239d&RA_ID=4160|Link]]** |
| |
direkt über die Schaltfläche **Durchsuchen** hochladen lassen. | direkt über die Schaltfläche **Durchsuchen** hochladen lassen. |
| |
Außerdem speichern Sie das **[[https://pki.pca.dfn.de/uni-freiburg-ca/pub/cacert/g_rootcert.crt|Zertifikat der Wurzelzertifizierungsstelle]]** der Deutschen Telekom, das **[[https://pki.pca.dfn.de/uni-freiburg-ca/pub/cacert/g_intermediatecacert.crt|Zwischenzertifikat der DFN-PKI]]** sowie das **[[https://pki.pca.dfn.de/uni-freiburg-ca/pub/cacert/g_cacert.crt|Zertifikat der Uni-FR CA]]** als PEM-Datei ab. Klicken Sie dazu mit der rechten Maustaste auf die Links und wählen Sie die Funktion "Ziel speichern unter...". Die heruntergeladenen Dateien werden gespeichert unter den Namen **g_deutsche-telekom-root-ca-2.crt**, **g_dfn_intermediatecert.crt** bzw. **g_unifrcacert.crt**. | Außerdem speichern Sie das **[[https://pki.pca.dfn.de/uni-freiburg-ca/pub/cacert/g_rootcert.crt|Zertifikat der Wurzelzertifizierungsstelle]]** der Deutschen Telekom, das **[[https://pki.pca.dfn.de/uni-freiburg-ca/pub/cacert/g_intermediatecacert.crt|Zwischenzertifikat der DFN-PKI]]** sowie das **[[https://pki.pca.dfn.de/uni-freiburg-ca/pub/cacert/g_cacert.crt|Zertifikat der Uni-FR CA]]** als PEM-Datei ab. Klicken Sie dazu mit der rechten Maustaste auf die Links und wählen Sie die Funktion "Ziel speichern unter...". Die heruntergeladenen Dateien werden gespeichert unter den Namen **g_deutsche-telekom-root-ca-2.crt**, **g_dfn_intermediatecert.crt** bzw. **g_unifrcacert.crt**. |
| |
| **Sie finden eine aktuellere Version der Zertifikatskette** **[[https://pki.pca.dfn.de/dfn-ca-global-g2/pub/cacert/chain.txt|hier]]** |
| |
Die Installation des Zertifikates hängt von den Anforderungen des Dienstes ab, für den es beantragt wurde. | Die Installation des Zertifikates hängt von den Anforderungen des Dienstes ab, für den es beantragt wurde. |
$ rm tempstore | $ rm tempstore |
</code> | </code> |
<note warning>Die Zertifikate können in einem nicht korrektem Encoding vorliege. Dies führt im Apachen zum AH02561-Fehler und einem nicht aufstarten, in diesen Fall sollten sie die .crts umkodieren <code>openssl x509 -in g_deutsche-telekom-root-ca-2.crt -inform DER -out root.crt | <note warning>Die Zertifikate können in einem nicht korrektem Encoding vorliege. Dies führt im Apachen zum AH02561-Fehler und einem nicht aufstarten, in diesen Fall sollten Sie die .crts umkodieren <code>openssl x509 -in g_deutsche-telekom-root-ca-2.crt -inform DER -out root.crt |
</code></note> | </code></note> |
<note tip>Falls das Zertifikat unter Android nicht funktioniert, kann es an der Reihenfolge des cat-Befehles liegen. Versuchen Sie <code>cat server1.pem g_unifrcacert.crt g_dfn_intermediatecert.crt g_deutsche-telekom-root-ca-2.crt >full.crt</code></note> | <note tip>Falls das Zertifikat unter Android nicht funktioniert, kann es an der Reihenfolge des cat-Befehles liegen. Versuchen Sie <code>cat server1.pem g_unifrcacert.crt g_dfn_intermediatecert.crt g_deutsche-telekom-root-ca-2.crt >full.crt</code></note> |