Schlüsselpaare und Zertifikatsanforderungen sind in einer Schlüsseldatenbank gespeichert.
Dieser Abschnitt beschreibt, wie Sie ein Schlüsselpaar und eine Zertifikatsanforderung erstellen.
Vorbereitende Schritte
Sie müssen bei der Erstellung eines neuen Schlüsselpaars und einer Zertifikatsanforderung
bestimmte Einschränkungen der Unterstützung für GSKit-Zertifikate berücksichtigen:
- IKEYMAN kann nicht für die Erstellung von Zertifikaten mit Schlüsselgrößen von mehr als 4096 Bit verwendet werden.
- Zertifikate mit Schlüsselgrößen bis zu 4096 Bit können nicht in die Schlüsseldatenbank importiert werden.
Informationen zu diesem Vorgang
Gehen Sie zum Erstellen eines Paars aus öffentlichem und privatem Schlüssel und einer Zertifikatsanforderung wie folgt vor:
Vorgehensweise
- Sollten Sie die Schlüsseldatenbank noch nicht erstellt
haben, lesen Sie den Artikel Eine neue Schlüsseldatenbank erstellen.
- Starten Sie die Benutzerschnittstelle
IKEYMAN.
- Klicken Sie in der Hauptbenutzerschnittstelle auf Schlüsseldatenbankdatei und anschließend auf
Öffnen.
- Geben Sie im Dialogfenster "Öffnen" den Namen Ihrer Schlüsseldatenbank ein, oder klicken Sie auf die Datei
key.kdb, wenn Sie die Standarddatei verwenden.
Klicken Sie auf OK.
- Geben Sie im Dialogfenster "Aufforderung zur Kennworteingabe" Ihr Kennwort einund klicken Sie anschließend auf OK.
- Klicken Sie in der Hauptbenutzerschnittstelle auf Erstellen und anschließend auf
Neue Zertifikatsanforderung.
- Geben Sie im Dialogfenster "Neuer Schlüssel und Zertifikatsanforderung" die folgenden Informationen ein:
- Schlüsselkennsatz: Geben Sie einen beschreibenden Kommentar für den Schlüssel und das Zertifikat in der Datenbank ein.
- Schlüsselgröße: Wählen Sie im Dropdown-Menü den gewünschten Verschlüsselungsgrad aus.
- Organisationsname: Geben Sie den Namen Ihrer Organisation ein.
- Organisationseinheit
- Ort
- Bundesland/Region
- Postleitzahl
- Land: Geben Sie Ihren Landescode ein. Geben Sie mindestens zwei Zeichen an. Beispiel:
US
Eine Kontrollsumme der Zertifikatsanforderung wird mit dem neuen privaten Schlüssel verschlüsselt signiert und enthält eine Kopie des neuen
öffentlichen Schlüssels. Der öffentliche Schlüssel kann dann von einer Zertifizierungsstelle (Certificate Authority, CA) verwendet werden, um
sicherzustellen, dass die Zertifikatssignieranforderung nicht manipuliert wurde. Einige Zertifizierungsstellen setzen möglicherweise voraus, dass
die Kontrollsumme, die vom öffentlichen Schlüssel signiert wird, mit einem stärker formalisierten Algorithmus berechnet wird, z. B. SHA-1 oder SHA-2 (SHA-256, SHA-384, SHA-256).
Diese
Kontrollsumme ist der so genannte Signaturalgorithmus der Zertifikatssignieranforderung.
SAN-Erweiterungen (Subject Alternate Name, alternativer Subjektname) sind Felder,
in einer Zertifikatsanforderung, die SSL-Clients über alternative, dem signierten Zertifikat entsprechende Hostnamen informieren.
Normale Zertifikate (die ohne Platzhalterzeichen in ihrem definierten Namen ausgestellt werden) sind nur für einen einzigen Hostnamen gültig. Beispielsweise
ist ein Zertifikat, das für "example.com" erstellt wurde, nicht für "www.example.com" gültig, es sei denn, der alternative Subjektname
"www.example.com" wurde dem Zertifikat hinzugefügt.
Eine Zertifizierungsstelle kann eine zusätzliche Gebühr in Rechnung stellen, wenn Ihr Zertifikat einen oder mehrere SAN-Erweiterungen enthält.
- Klicken Sie auf OK.
- Klicken Sie im Informationsdialog auf OK. Es erscheint eine Erinnerung, die Datei an eine
Zertifizierungsstelle zu senden.
- Optional: Entfernen Sie auf UNIX-basierten Plattformen die Zeilenendezeichen (^M) aus der
Zertifikatsanforderung. Geben Sie den folgenden Befehl ein, um die Zeilenendezeichen
zu entfernen:
cat certreq.arm |tr -d "\r" > new_certreq.arm
- Senden Sie die Datei gemäß den auf der CA-Website angegebenen Anweisungen zum Anfordern einer neuen Zertifikatsanforderung an die CA.