Embed Size (px)
Citation preview
X509-Zertifikate mit XCA erstellen
Ko
nfi
gu
rati
on
s-A
nle
itu
ng
Zertifikat erstellen
comtime GmbH 2
Zertifikate erstellen
Für eine sichere VPN-Verbindung sind Zertifikate nötig. Zertifikate können bei Zertifizierungsstellen erworben oder mit entsprechender Software selber erstellt werden. Beispielhaft wird die Erstellung von X.509-Zertifikaten mit dem Programm XCA in der Version 1.0.0 durchgeführt. Das Programm XCA kann unter
http://sourceforge.net/projects/xca/ herunter geladen werden.
1. XCA installieren Starten Sie die Setup-Datei setup_xca-1.0.0.exe und folgen Sie den weiteren Anweisungen des Setup-
Programms.
2. Datenbank anlegen
Diese Anleitung zum Erstellen von selbst signierten Zertifikaten basiert auf der Version 1.0.0 des Programms
XCA.
Starten Sie nach der Installation das Programm XCA.
Bild 1
Zertifikat erstellen
comtime GmbH 3
Legen Sie eine neue Datenbank über den Menüpunkt „Datei“ >> „Neue Datenbank“ an.
Bild 2
Vergeben Sie ein Passwort, um die Datenbank zu verschlüsseln.
Wählen Sie den Menüpunkt „Datei“ >> „Optionen“.
Bild 3
Stellen Sie sicher, dass der Hash-Algorithmus auf SHA 1 eingestellt ist.
Zertifikat erstellen
comtime GmbH 4
CA-Zertifikat erstellen Zuerst müssen Sie ein Zertifikat einer Certificate Authority (CA) erstellen Dieses Root-Zertifikat dient als bescheinigende, beglaubigende Instanz dafür, alle weiteren von ihm abgeleiteten Zertifikate zu signieren und damit für die Echtheit des sich im Umlauf befindlichen Zertifikates zu bürgen. Wechseln Sie auf den Reiter „Zertifikate“ und klicken Sie auf „Neues Zertifikat“.
Bild 4
Im dargestellten Programmfenster ist bereits ein selbst signiertes Zertifikat mit dem Signatur-Algorithmus SHA-1 voreingestellt.
Zertifikat erstellen
comtime GmbH 5
Wechseln Sie auf dem Reiter „Inhaber“
Bild 5
Tragen Sie dort die Informationen zu dem Inhaber des Root-Zertifikates ein.
Klicken Sie auf die Schaltfläche „Erstelle einen neuen Schlüssel“.
Bild 6
Behalten Sie die voreingestellte Schlüssellänge und den Typ bei. Geben Sie einen Namen an.
Zertifikat erstellen
comtime GmbH 6
Wechseln Sie auf den Reiter „Erweiterungen“.
Bild 7
Die Gültigkeitsdauer des Zertifikates ist auf dem Reiter „Erweiterungen“ festgelegt. Das Root-Zertifikat sollte eine längere Gültigkeit bekommen, als die später zu erstellenden Maschinen-Zertifikate. In diesem Beispiel ist die Gültigkeit auf 10 Jahre gesetzt. Der Typ des Zertifikats ist hier bereits auf „Zertifikats Authorität“ voreingestellt. Aktivieren Sie alle Optionen, wie im Bild 7 dargestellt.
Klicken Sie auf „OK“, um das Erstellen des Root-Zertifikats abzuschließen.
Die Erstellung dieses Zertifikates ist damit abgeschlossen
Zertifikat erstellen
comtime GmbH 7
In der Übersicht ist nun ein neues Root-Zertifikat aufgeführt, von dem die weiteren Maschinen- Zertifikate abgeleitet werden können.
Bild 8
Zertifikat erstellen
comtime GmbH 8
Maschinen-Zertifikate erstellen Vorlage erstellen Die weitere Erstellung von Maschinen-Zertifikaten kann durch die Verwendung von Vorlagen erleichtert werden. Wechseln Sie auf den Reiter „Vorlagen“.
Bild 9
Klicken Sie auf die Schaltfläche „Neue Vorlage“, um ein Endstellen-Zertifikat zu erstellen.
Beantworten Sie die Abfrage nach voreinzustellenden Werten („Vorlagenwerte einstellen“) mit „Nichts“.
Auf der Registerkarte „Inhaber“ stellen Sie die Angaben für die später zu erstellendenZertifikate ein.
Zertifikat erstellen
comtime GmbH 9
Es erscheint folgendes Fenster. Bleiben Sie auf der Registerkarte „Inhaber“.
Bild 10
Es stehen zwei Namen („Interner Name“ und „commonName“) in spitzen Klammern. Die Namen in den spitzen Klammern stellen einen Platzhalter dar, da die Namen bei den Zertifikaten vergeben werden. Bei der Anwendung der Vorlage werden die Namen individuell gesetzt.
Zertifikat erstellen
comtime GmbH 10
Wechseln Sie auf den Reiter „Erweiterungen“.
Bild 11
Stellen Sie den Typ der Zertifikate auf „End Instanz“ um, da die Vorlage für die Maschinen-Zertifikate
Anwendung finden soll.
Die Gültigkeit der zu erstellenden Zertifikate ist hier mit 2 Jahre angegeben. Mit Ablauf des sich daraus
ergebenen End-Datums können die Zertifikate nicht mehr eingesetzt werden.
Klicken Sie auf OK, um das Erstellen der Vorlage abzuschließen.
Nun können auf Basis der Vorlage Zertifikate erstellt werden, die mit dem Root-Zertifikat signiert sind.
Zertifikat erstellen
comtime GmbH 11
Maschinen-Zertifikate auf Basis einer Vorlage erstellen Erstellen Sie auf Basis der Vorlage Zertifikate, die mit dem Root-Zertifikat signiert sind. Wechseln Sie auf den Reiter „Zertifikate“ und klicken Sie auf „Neues Zertifikat“.
Bild 12
Auf der Registerkarte „Herkunft“ wird das Root-Zertifikat angegeben, welches zum Unterschreiben verwendet werden soll. Zusätzlich kann eine erstellte Vorlage ausgewählt und durch Betätigen der Schaltfläche „Alle übernehmen“
eingelesen werden.
Zertifikat erstellen
comtime GmbH 12
Wechseln Sie auf den Reiter „Inhaber“.
Bild 13 Tragen Sie dort die Informationen zu dem Inhaber des Maschinen-Zertifikates ein.
Wichtig ist bei den Angaben auf diesem Reiter, dass sich die Zertifikate mindestens in dem Namen („Interner
Name“ und „commonName“) unterscheiden.
Als Name kann hier zum Beispiel die Betriebsmittelkennzeichnung der Maschine bzw. des Routers
Produktbezeichnung verwendet werden.
Klicken Sie auf die Schaltfläche „Erstelle einen neuen Schlüssel“.
Bild 14
Behalten Sie die voreingestellte Schlüssellänge, den Typ und den Namen bei.
Mit den vorangegangenen Schritten ist ein selbst signiertes Zertifikat als CA Zertifikat erstellt worden.
Zertifikat erstellen
comtime GmbH 13
Des Weiteren ist ein Maschinen-Zertifikat erstellt worden, das von der CA signiert ist.
Bild 15
Zur Verwendung im Router muss das Maschinen-Zertifikat exportiert werden.
Zertifikat erstellen
comtime GmbH 14
Maschinen-Zertifikate exportieren Wählen Sie das entsprechende Zertifikat aus der Liste aus und klicken Sie auf die Schaltfläche „Export“.
Das vollständige Zertifikat inklusive des privaten Schlüssels muss das Format „PKCS#12 with Certificate chain“ haben und kann dann als Maschinen-Zertifikat in die jeweilige Komponente eingespielt werden.
Bild 16
Exportieren Sie zusätzlich auch das Gegenstellen-Zertifikat.
Dieses wird ohne die privaten Schlüssel im Format PEM abgelegt.
Bild 17
