Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
keytoolcert [2021/04/26 17:56] minnichkeytoolcert [2025/02/06 18:01] (aktuell) minnich
Zeile 1: Zeile 1:
-====== Serverzertifikat mit Java Keytool bearbeiten ======+====== Einen CSR-Requests für ein Serverzertifikat mit Java Keytool erstellen ======
  
 Auf dieser Seite zeigen wir Ihnen, wie Sie mit Java Keytool ein Schlüsselpaar generieren, den CSR erzeugen und schließlich das von der Uni-FR CA gelieferte Zertifikat in das Server-System einbauen. Auf dieser Seite zeigen wir Ihnen, wie Sie mit Java Keytool ein Schlüsselpaar generieren, den CSR erzeugen und schließlich das von der Uni-FR CA gelieferte Zertifikat in das Server-System einbauen.
- 
- 
-Hintergrundinformationen dazu finden Sie in dem Dokument **[[serverzertifikat|Ein Serverzertifikat beantragen]]**. 
  
  
Zeile 54: Zeile 51:
 </code> </code>
  
-Damit erzeugen Sie für den Schlüsselbund-Eintrag "mykey" die Request-Datei unter dem Namen server1.csr.+Damit erzeugen Sie für den Schlüsselbund-Eintrag "mykey" die Request-Datei unter dem Namen server1.csr
  
-Diese Datei können Sie im Web-Interface der Uni-FR CA 
  
- **[[https://pki.pca.dfn.de/dfn-ca-global-g2/cgi-bin/pub/pki?cmd=pkcs10_req;id=1;menu_item=2;XSEC=5e540869bd1c44454fc8a2667907002c50f03e67e4fb4cae29639d6a878f239d&RA_ID=4160|Link]]** 
  
-direkt über die Schaltfläche Durchsuchen hochladen lassen. +\\ \\ 
- +{{tag>intern}}
- +
-Das Antragsverfahren mit Hilfe des Web-Interface der Uni-FR CA ist beschrieben in dem Dokument +
- +
-  * **[[serverzertifikat|Serverzertifikat beantragen]]** +
- +
- +
-\\ +
-===== Zertifikat und privaten Schlüssel installieren ===== +
- +
-Sobald Sie das Serverzertifikat von der Uni-FR CA per Mail erhalten haben, speichern Sie die PEM-formatierte Datei des Attachements ab, z.B. unter dem Namen **server1.pem**. +
- +
-Außerdem speichern Sie das **[[https://pki.pca.dfn.de/uni-freiburg-ca/pub/cacert/g_rootcert.crt|Zertifikat der Wurzelzertifizierungsstelle]]** der Deutschen Telekom, das **[[https://pki.pca.dfn.de/uni-freiburg-ca/pub/cacert/g_intermediatecacert.crt|Zwischenzertifikat der DFN-PKI]]** sowie das **[[https://pki.pca.dfn.de/uni-freiburg-ca/pub/cacert/g_cacert.crt|Zertifikat der Uni-FR CA]]** als PEM-Datei ab. Klicken Sie dazu mit der rechten Maustaste auf die Links und wählen Sie die Funktion "Ziel speichern unter...". Die heruntergeladenen Dateien werden gespeichert unter den Namen **g_deutsche-telekom-root-ca-2.pem**, **g_dfn_intermediatecert.pem** bzw. **g_unifrcacert.pem**. +
- +
- +
-Als erstes importieren Sie die drei Zertifikate der Zertifikatskette in die keystore-Datei: +
- +
-<code> +
-> keytool -import -file g_deutsche-telekom-root-ca-2.pem -alias root -keystore /var/lib/.keystore +
-> keytool -import -file g_dfn_intermediatecert.pem -alias dfn -keystore /var/lib/.keystore +
-> keytool -import -file g_unifrcacert.pem -alias unifrca -keystore /var/lib/.keystore +
-</code> +
- +
-Das Wurzelzertifikat muss manuell von Ihnen als vertrauenswürdig eingestuft werden. Es ist deshalb gute Praxis, wenn Sie grundsätzlich den **[[http://portal.uni-freiburg.de/rz/services/sicherheit/zertifikate#section-2|Fingerabdruck]]** der Zertifikatsdatei mit dem auf der Download-Seite vergleichen. Die weiteren Zertifikate werden auf Grund der schon importierten Zertifikate von der Software als vertrauenswürdig erkannt. +
- +
-Geben Sie den Zertifikaten sprechende Aliasnamen, damit man sie leicht wiederfinden kann und halten Sie die angegebene Reihenfolge beim Import ein! +
- +
-Anschließend importieren Sie das per Mail erhaltene Zertifikat in Ihre Keystore-Datei.\\ +
-Geben Sie dabei den bei der Schlüsselerstellung verwendeten Aliasnamen an: +
- +
-<code> +
-> keytool -import -file server1.pem -alias mykey -keystore /var/lib/.keystore +
-</code> +
- +
-Keytool stellt dabei eine sog. Vertrauenskette vom server1-Zertifikat über das Uni-FR CA Zertifikat bis zum selbstsignierten root-Zertifikat her und legt sie unter dem Aliasnamen server1 ab. +
- +
-Konfigurieren Sie nun die Serverdienste, die auf das Zertifikat zugreifen sollen, entsprechend der individuellen Dokumentation. Normalerweise müssen Sie die Anwendungen anschließend neu starten, damit die Konfiguration wirksam wird und das Zertifikat verwendet werden kann. +
- +
-\\ +
-Wie Sie die Zertifikate am Beispiel von Tomcat nach den Vorgaben von Apache HTTPD bereitstellen können, zeigt das Beispiel auf der Seite **[[opensslcert#zertifikat_und_privaten_schluessel_installieren|"Serverzertifikat mit openSSL bearbeiten"]]** +
- +
- +
-\\ +
-\\ +
-\\+
  
-{{tag>zertifikate sicherheit keytool}} 

Zuletzt angesehen: Details zum MSDN Academic Alliance - Vertrag

QR-Code
QR-Code Einen CSR-Requests für ein Serverzertifikat mit Java Keytool erstellen (erstellt für aktuelle Seite)