Inhaltsverzeichnis
XCA
Bei kleineren Installationen spare ich mir den Aufwand für ein PKI Setup mit EJBCA und verwende statt dessen das leichtgewichtigere XCA um Zertifikate für IPSEC und SSL-Client-Authenisierung zu erzeugen.
Downlaod: http://sourceforge.net/projects/xca/files/
Wir starten mit einer neue Datenbank.
Root-Zertifikat
Leere CA nach dem erzeugen einer neuen Datenbank.
- Zu erst muss eine Root-Zertifikat erstellt werden mit dem die anderen Zertifikaten dann unterschreiben werden
- „Neues Zertifikat“ wählen
- Vorgaben bestätigen
- DN Daten können willkürlich gewählt werden
- „Erstelle einen neuen Schlüssel“ wählen
- Für das Root CA, RSA und 4096 bit, wählen
- neu erzeugter Schlüssel wird automatisch gewählt, wenn nicht: korrigieren
- Haken bei „Critical“ und „Dubjeckt Key Identifier“ setzen
- Zeitspanne kann willkürlich gewählt werden
- „subject alternative name“: email:copy (Übernimmt die e-Mail-Adresse aus dem Tab zu vor
- Keyusage wie im Screenshot wählen
- Keyusage wie im Screenshot wählen
- Comment setzen
- Root-Zertifikat wurde erzeugt
Server-Zertifikat
Nach dem das Root-Zertifikat erstellt ist kann jezt ein Zertifikat für einen Server erstellt werden.
Immer das Zertifikat mit dem unterschreiben werden soll muss gewählt sein hier das Root-Zertifikat- „Neues Zertifikat“ wählen
- Unser Root-Zertifikat muss zum Unterschreiben gewählt sein
- Vorlage HTTPS-Server wählen und „Erweiterungen übernahmen“ klicken
- DN Daten können willkürlich gewählt werden müssen aber in der Summe Eindeutig sein
- „commonName“ muss der FQDN des Servers sein
- „Erstelle einen neuen Schlüssel“ wählen
- RSA Schlüssel mit 2048 bit erzeugen, da 4096 u.U. zu Problemen fürhen kann
- Typ: End Instanz
- NICHT Critical
- „Subject Key Identifyer“ anhaken
- Zeitspanne wählen
- „subject alternative name“ auf „DNS: FQDN.des.servers“ setzen, hier können auch mehrere solche Einträge duch Komma getrennt stehen
- Keyusage wie im Screenshot wählen
- Keyusage wie im Screenshot wählen
- FQDN als Comment
- Zertifikat wurde erstellt und wird in der Hirarchi unter dem Root-Zertifikat angezeigt
Client-Zertifikat
Zertifikate exportieren
