MHC SoftWare Wiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: xca
xca

Inhaltsverzeichnis

XCA

Bei kleineren Installationen spare ich mir den Aufwand für ein PKI Setup mit EJBCA und verwende statt dessen das leichtgewichtigere XCA um Zertifikate für IPSEC und SSL-Client-Authenisierung zu erzeugen.

Downlaod: http://sourceforge.net/projects/xca/files/

Wir starten mit einer neue Datenbank.

Root-Zertifikat

Leere CA nach dem erzeugen einer neuen Datenbank.

  • Zu erst muss eine Root-Zertifikat erstellt werden mit dem die anderen Zertifikaten dann unterschreiben werden
  • „Neues Zertifikat“ wählen

  • Vorgaben bestätigen

  • DN Daten können willkürlich gewählt werden
  • „Erstelle einen neuen Schlüssel“ wählen

  • Für das Root CA, RSA und 4096 bit, wählen

  • neu erzeugter Schlüssel wird automatisch gewählt, wenn nicht: korrigieren

  • Haken bei „Critical“ und „Dubjeckt Key Identifier“ setzen
  • Zeitspanne kann willkürlich gewählt werden
  • „subject alternative name“: email:copy (Übernimmt die e-Mail-Adresse aus dem Tab zu vor

  • Keyusage wie im Screenshot wählen

  • Keyusage wie im Screenshot wählen
  • Comment setzen

  • Root-Zertifikat wurde erzeugt

Server-Zertifikat

Nach dem das Root-Zertifikat erstellt ist kann jezt ein Zertifikat für einen Server erstellt werden.

  • :!: Immer das Zertifikat mit dem unterschreiben werden soll muss gewählt sein hier das Root-Zertifikat
  • „Neues Zertifikat“ wählen

  • Unser Root-Zertifikat muss zum Unterschreiben gewählt sein
  • Vorlage HTTPS-Server wählen und „Erweiterungen übernahmen“ klicken

  • DN Daten können willkürlich gewählt werden müssen aber in der Summe Eindeutig sein
  • „commonName“ muss der FQDN des Servers sein
  • „Erstelle einen neuen Schlüssel“ wählen

  • RSA Schlüssel mit 2048 bit erzeugen, da 4096 u.U. zu Problemen fürhen kann

  • Typ: End Instanz
  • NICHT Critical
  • „Subject Key Identifyer“ anhaken
  • Zeitspanne wählen
  • „subject alternative name“ auf „DNS: FQDN.des.servers“ setzen, hier können auch mehrere solche Einträge duch Komma getrennt stehen

  • Keyusage wie im Screenshot wählen

  • Keyusage wie im Screenshot wählen
  • FQDN als Comment

  • Zertifikat wurde erstellt und wird in der Hirarchi unter dem Root-Zertifikat angezeigt

Client-Zertifikat

Zertifikate exportieren

xca.txt · Zuletzt geändert: 2017/03/17 11:37 von 127.0.0.1