Benutzer-Werkzeuge

Webseiten-Werkzeuge


xca

XCA

Bei kleineren Installationen spare ich mir den Aufwand für ein PKI Setup mit EJBCA und verwende statt dessen das leichtgewichtigere XCA um Zertifikate für IPSEC und SSL-Client-Authenisierung zu erzeugen.

Downlaod: http://sourceforge.net/projects/xca/files/

Wir starten mit einer neue Datenbank.

Root-Zertifikat

Leere CA nach dem erzeugen einer neuen Datenbank.

  • Zu erst muss eine Root-Zertifikat erstellt werden mit dem die anderen Zertifikaten dann unterschreiben werden
  • „Neues Zertifikat“ wählen

  • Vorgaben bestätigen

  • DN Daten können willkürlich gewählt werden
  • „Erstelle einen neuen Schlüssel“ wählen

  • Für das Root CA, RSA und 4096 bit, wählen

  • neu erzeugter Schlüssel wird automatisch gewählt, wenn nicht: korrigieren

  • Haken bei „Critical“ und „Dubjeckt Key Identifier“ setzen
  • Zeitspanne kann willkürlich gewählt werden
  • „subject alternative name“: email:copy (Übernimmt die e-Mail-Adresse aus dem Tab zu vor

  • Keyusage wie im Screenshot wählen

  • Keyusage wie im Screenshot wählen
  • Comment setzen

  • Root-Zertifikat wurde erzeugt

Server-Zertifikat

Nach dem das Root-Zertifikat erstellt ist kann jezt ein Zertifikat für einen Server erstellt werden.

  • :!: Immer das Zertifikat mit dem unterschreiben werden soll muss gewählt sein hier das Root-Zertifikat
  • „Neues Zertifikat“ wählen

  • Unser Root-Zertifikat muss zum Unterschreiben gewählt sein
  • Vorlage HTTPS-Server wählen und „Erweiterungen übernahmen“ klicken

  • DN Daten können willkürlich gewählt werden müssen aber in der Summe Eindeutig sein
  • „commonName“ muss der FQDN des Servers sein
  • „Erstelle einen neuen Schlüssel“ wählen

  • RSA Schlüssel mit 2048 bit erzeugen, da 4096 u.U. zu Problemen fürhen kann

  • Typ: End Instanz
  • NICHT Critical
  • „Subject Key Identifyer“ anhaken
  • Zeitspanne wählen
  • „subject alternative name“ auf „DNS: FQDN.des.servers“ setzen, hier können auch mehrere solche Einträge duch Komma getrennt stehen

  • Keyusage wie im Screenshot wählen

  • Keyusage wie im Screenshot wählen
  • FQDN als Comment

  • Zertifikat wurde erstellt und wird in der Hirarchi unter dem Root-Zertifikat angezeigt

Client-Zertifikat

Zertifikate exportieren

xca.txt · Zuletzt geändert: 2017/03/17 11:37 (Externe Bearbeitung)