Skip to end of metadata
Go to start of metadata

Inhaltsverzeichnis

Einstiegspunkt für eine Beantragung ist 

    https://pki.pca.dfn.de/fh-ffm-ca-g2/pub

Über Reiter wird gewählt, ob ein Nutzerzertifikat oder ein Serverzertifikat beantragt werden soll.

Nutzerzertifikat


Die Beantragung des Nutzerzertifikats erfolgt vollständig geführt über die Web-GUI und sollte selbsterklärend sein. Am Ende kann über einen Button der Zertifikatsantrag heruntergeladen werden, der ausgefüllt und unterschrieben perönlich dem Service Desk zur Prüfung vorzulegen ist. Die Übermittlung des Zertifikats erfolgt dann an die im Beantragungsprozess angegebene E-Mail Adresse.

Serverzertifikat


Auch die Beantragung eines Serverzertifikats erfolgt geführt über die Web-GUI. Hier ist allerdings vorab die Erstellung eines Zertifikatsantrags im PKCS#10-Format erforderlich. 

Mittel der Wahl zur Erstellung eines solchen Antrags ist das Kommandozeilenwerkzeug openssl aus der gleichnamigen Software zur Transportverschlüsselung. Das Programm erlaubt die Beantragung, Erzeugung und Verwaltung von Zertifikaten und ist Bestandteil gängiger Linux-Distributionen. Die Erstellung kann, muss aber nicht auf dem Rechner erfolgen, für den das Zertifikat beantragt wird. 

Hinweis: Installation unter Windows

Eine Möglichkeit, openssl auch unter Windows nutzen zu können, ist Git for Windows, das neben weiteren Werkzeugen auch openssl.exe und eine BASH Emulation als Kommandozeile bereit hält. Innerhalb dieser Umgebung lassen sich die weiteren Anweisungen auch unter Windows ausführen.

Erster Schritt: Schlüssel (key) generieren, mit dem der Antrag signiert wird

openssl genrsa -out <server>_key.pem 2048

Die Datei <server>_key.pem (bitte den eigenen Anforderungen anpassen!) enthält den privaten und öffentlichen Schlüssel und wird mit einem Passwort geschützt. Da die angestrebte Sicherheit der Datenkommunikation von diesem Schlüssel abhängt, sollte er sicher aufbewahrt und das Passwort hinreichend komplex gewählt werden. 

In bestimmten Fällen kann es notwendig sein, den Schlüssel ohne Passwort bereitzustellen. Das Passwort kann jederzeit entfernt werden:

openssl rsa -in <server>_key.pem -out <server>_key_nopw.pem

Der Schlüssel muss in diesem Fall aber mit anderen Mitteln adäquat geschützt werden. 

Zweiter Schritt: Antrag erstellen  

openssl req -batch -sha256 -new -key <server>_key.pem 
            -out <server>_req.pem 
            -subj '/C=DE/ST=Hessen/L=Frankfurt am Main
                    /O=Frankfurt University of Applied Sciences
                    /OU=CIT/CN=<server>.<subdomain>.frankfurt-university.de
                    /emailAddress=<mailadresse>@<subdomain>.fra-uas.de'

Die obige Sequenz muss angepasst und am Stück in einer Zeile eingegeben werden.  

Das Ergebnis <server>_req.pem kann vor Übermittlung nocheinmal geprüft werden:

openssl req -in <server>_req.pem -noout -text

Anschließend den Antrag über den entsprechenden Formularpunkt hochladen und den Antragsprozess in der GUI abschließen. Am Ende den Zertifikatsantrag herunterladen, ausfüllen und unterschrieben dem Service Desk persönlich zur Prüfung vorlegen. Die Übermittlung des Zertifikats erfolgt dann an die im Beantragungsprozess angegebene E-Mail Adresse.

PFX/PKCS#12-Datei erstellen

In bestimmten Fällen ist es erforderlich, dass das Zertifikat als PKCS#12-Datei vorliegt. Solche Dateien fassen die erforderlichen Bestandteile in einer einzigen Datei zusammen. Es müssen vorliegen:

  • RSA-Key: <server>_key.pem (wie oben erstellt)
  • Zertifikat der DFN-PKI: <server>_crt.pem (kommt vom DFN als Mailanhang)
  • CA-Zertifikatskette: komplette Vertrauenskette von der DFN-CA bis zur T-Systems CA. Diese Datei kann vom DFN bezogen werden:
wget https://pki.pca.dfn.de/dfn-ca-global-g2/pub/cacert/chain.txt

Für die Erstellung wird wieder openssl verwendet:

openssl pkcs12 -export -inkey <server>_key.pem
               -in <server>_crt.pem
               -certfile chain.txt -out pkcs12 <server>.p12

Auch hier: alles in einer Zeile und Werte entsprechend anpassen!

Die wichtigsten OpenSSL-Befehle in einer Übersicht:

    https://help.internetx.com/display/SSL/OpenSSL+-+Die+wichtigsten+Befehle