====== XCA ====== Bei kleineren Installationen spare ich mir den Aufwand für ein PKI Setup mit [[http://www.ejbca.org/|EJBCA]] und verwende statt dessen das leichtgewichtigere [[http://xca.sourceforge.net/|XCA]] um Zertifikate für IPSEC und SSL-Client-Authenisierung zu erzeugen. Downlaod: http://sourceforge.net/projects/xca/files/ Wir starten mit einer neue Datenbank. ===== Root-Zertifikat ===== Leere CA nach dem erzeugen einer neuen Datenbank. * Zu erst muss eine Root-Zertifikat erstellt werden mit dem die anderen Zertifikaten dann unterschreiben werden * "Neues Zertifikat" wählen {{:xca_022.png?nolink|}} * Vorgaben bestätigen {{:xca_023.png?nolink|}} * DN Daten können willkürlich gewählt werden * "Erstelle einen neuen Schlüssel" wählen {{:xca_024.png?nolink|}} * Für das Root CA, RSA und 4096 bit, wählen {{:xca_025.png?nolink|}} * neu erzeugter Schlüssel wird automatisch gewählt, wenn nicht: korrigieren {{:xca_026.png?nolink|}} * Haken bei "Critical" und "Dubjeckt Key Identifier" setzen * Zeitspanne kann willkürlich gewählt werden * "subject alternative name": email:copy (Übernimmt die e-Mail-Adresse aus dem Tab zu vor {{:xca_027.png?nolink|}} * Keyusage wie im Screenshot wählen {{:xca_028.png?nolink|}} * Keyusage wie im Screenshot wählen * Comment setzen {{:xca_029.png?nolink|}} * Root-Zertifikat wurde erzeugt {{:xca_030.png?nolink|}} ===== Server-Zertifikat ===== Nach dem das Root-Zertifikat erstellt ist kann jezt ein Zertifikat für einen Server erstellt werden. * :!: Immer das Zertifikat mit dem unterschreiben werden soll muss gewählt sein hier das Root-Zertifikat * "Neues Zertifikat" wählen {{:xca_031.png?nolink|}} * Unser Root-Zertifikat muss zum Unterschreiben gewählt sein * Vorlage HTTPS-Server wählen und "Erweiterungen übernahmen" klicken {{:xca_032.png?nolink|}} * DN Daten können willkürlich gewählt werden müssen aber in der Summe Eindeutig sein * "commonName" muss der FQDN des Servers sein * "Erstelle einen neuen Schlüssel" wählen {{:xca_033.png?nolink|}} * RSA Schlüssel mit 2048 bit erzeugen, da 4096 u.U. zu Problemen fürhen kann {{:xca_034.png?nolink|}} * Typ: End Instanz * NICHT Critical * "Subject Key Identifyer" anhaken * Zeitspanne wählen * "subject alternative name" auf "DNS: FQDN.des.servers" setzen, hier können auch mehrere solche Einträge duch Komma getrennt stehen {{:xca_035.png?nolink|}} * Keyusage wie im Screenshot wählen {{:xca_036.png?nolink|}} * Keyusage wie im Screenshot wählen * FQDN als Comment {{:xca_037.png?nolink|}} * Zertifikat wurde erstellt und wird in der Hirarchi unter dem Root-Zertifikat angezeigt {{:xca_039.png?nolink|}} ===== Client-Zertifikat ===== {{:xca_040.png?nolink|}} {{:xca_041.png?nolink|}} {{:xca_042.png?nolink|}} {{:xca_043.png?nolink|}} {{:xca_044.png?nolink|}} {{:xca_045.png?nolink|}} {{:xca_046.png?nolink|}} ===== Zertifikate exportieren ===== {{:xca_047.png?nolink|}} {{:xca_048.png?nolink|}} {{:xca_049.png?nolink|}} {{:xca_050.png?nolink|}}