eigene Zertifizierungsstelle - Anleitung Tool XCA

Mit dem kostenlosen Tool XCA ist es sehr einfach möglich, selbst Zertifikate zu erstellen.

Das kleine Tool kann zum Beispiel mittels Vorlage eine Zertifizierungsstelle (CA, oder¬†Zertifikats Authorit√§t) erstellen und¬†zur CA geh√∂rende Zertifikate¬†ausstellen.¬†Dabei k√∂nnen s√§mtliche Parameter, wie zum Beispiel die G√ľltigkeitsdauer, beliebig eingestellt werden.

Auch bei Verwendung einer eigenen Zertifizierungsstelle, muss der Client dieser Zertifizierungsstelle vertrauen. Um dies zu erreichen, muss das Root Zertifikat der CA auf die Endger√§te gespielt werden. Alle weiteren Zertifikate gelten dann automatisch als vertrauensw√ľrdig, da das Root Zertifikat (CA) als vertrauensw√ľrdig gilt. Siehe auch:¬† https und Zertifikate¬†

Nun aber zum Erstellen unserer eigenen CA, dazu benötigen wir das Tool XCA. 

Das aktuelle XCA-Tool 2.5.0, kann auf der Seite von sourceforge.net/projects/xca heruntergeladen werden.

Programm XCA
aktuelle Version 2.5.0
Hersteller Christian Hohnstaedt
https://hohnstaedt.de/xca/index.php/download
Lizenz BSD License

Datenbank anlegen

Nach dem Start des Tools, muss als Erstes eine Datenbank angelegt werden, dazu:

Datei, neu Datenbank

Des Weiteren ben√∂tigen wir einen privaten Schl√ľssel f√ľr unser CA Zertifikat:

neuer privater Schl√ľssel

 Jetzt erstellen wir das eigentliche Root Zertifikat, dazu:

Import, Vorlage importieren CA

Zertifikats Authorit√§t, hier kann die G√ľltigkeitsdauer des Root Zertifikates gew√§hlt werden, mittels √úbernehmen wird diese angewandt

Die Root CA verwendet den zuvor erstellten privaten Schl√ľssel:

 

Und fertig ist unsere Zertifizierungsstelle. Das CA Zertifikat kann jetzt exportiert und auf den Endgeräten eingespielt werden.

(Dazu auf das CA Zertifikat, Export, Datei

 

am Endgerät dann:

Die Endgeräte vertrauen somit dem im nächsten Schritt erstellten Zertifikat, bzw. sämtlichen weiteren Zertifikaten die unter der CA erstellt werden.

Zertifikat erstellen

Zum Erstellen eines Webserverzertifikates importiere ich eine HTTPS_Server Vorlage:

Des Zertifikates wähle ich auf der zuvor erstellten CA: "Zertifikat erstellen"

Je nach Anforderung, kann als Vorlage z. B. ein Webserverzertifikat erstellt werden. Das Zertifikat ben√∂tigt nat√ľrlich seinen eigenen privaten Schl√ľssel und einen Namen.

Neuen privaten Schl√ľssel erstellen

Unter Schl√ľsselverwendung k√∂nnen die Optionen f√ľr die Verwendung des Zertifikats festgelegt werden:

Zu guter Letzt können die Zertifikate dann exportiert und auf z. B. einem Webserver importiert werden:

Um den privaten Key zu exportieren, kann das Format p12 verwendet werden.

 

positive Bewertung({{pro_count}})
Beitrag bewerten:
{{percentage}} % positiv
negative Bewertung({{con_count}})

DANKE f√ľr deine Bewertung!

Aktualisiert: 25.09.2023 von Bernhard |ūüĒĒ | Kommentare:3

‚ě® ssh tunnel und vnc | ‚ě¶ Internet | Open Source alternative zu Teamviewer oder Netviewer ‚ě®

Top-Artikel in diesem Bereich


Firefox und alte Java Version ohne Installation: Portable

Aufgrund zahlreicher Sicherheitsl√ľcken hat Java in der Vergangenheit immer wieder Schlagzeilen gemacht.¬†Schon m√∂glich, dass neuere Versionen etwas sicherer sind, daf√ľr funktionieren aber zahlreiche webbasierte Verwaltungsoberfl√§chen nach einem Update nicht mehr. Wer also keine alte Java-Version auf seinem Rechner installieren will, kann Firefox mit einer alten Java-Runtime (JRE) einfach bei Bedarf aus einem Ordner starten, ganz ohne Installation.


automatische Umleitung auf https in Chrome löschen: localhost

Beim Aufruf einer Testseite ohne https auf localhost hatte ich vor kurzem folgendes Phänomen: http://localhost wurde auf https://localhost umgeleitet: Die Testseite konnte nicht mehr angezeigt werden.


kindersicheres Internet √ľber das Heimnetzwerk - DNS am Router

Kinder sollten nat√ľrlich generell nicht unbeaufsichtigt vor dem Computer geparkt werden: Um das Internet etwas kindersicherer zu machen, hab ich ein paar Tipps zusammengestellt:

Fragen / Kommentare


(sortiert nach Bewertung / Datum) [alle Kommentare(neueste zuerst)]

‚úćanonym
20.04.2021 19:04
Hallo Herr Hohnstaedt,
ich versuche folgendes: In meinem kleinen Unternehmen will ich, dass alle Beteiligten sich gegenseitig die Unterschriften pr√ľfen k√∂nnen.
Dazu erstellt jeder eine digitale ID in Adobe Acrobat Reader und exportiert im Anschluss sein zugehöriges Zertifikat auf den Server.
Jetzt will ich aber nicht jedes Zertifikat einzeln importieren und auf vertrauensw√ľrdig stellen, sondern ein Root Zertifikat haben bei dem alle anderen hinterlegt sind. 
Ich habe beim testen das Root-Zertifikat erstellt und auch soweit Zertifikate der digitalen IDs (im PKCS#7 Format) in Eure Software importieren können. Problematisch ist allerdings, dass ich die Zertifikate nicht dem Root CA unterordnen kann, wie es bei neu erstellten Zertifikaten möglich wäre.
Ich denke mal euer Programm ist nicht daf√ľr gemacht, ich bin auch so nur ein interessierter Laie, aber vielleicht k√∂nnt ihr mir helfen wie ich mein Ziel dennoch erreiche, mit eurem Programm?
LG Klaus L

‚úćanonym
29.04.2019 14:47
User: J√ľrgen Z 
Habe GitLab im lokalen Netz laufen (https://domain.lokal). Leider bekomme ich Zertifikatsfehler. Kann man das irgendwie l√∂sen ohne den Server online zu stellen? Gr√ľ√üe JZ

‚úćanonym
04.02.2019 07:19
User: A.Zimmer 
Das ist eine echt coole L√∂sung. Ich habe das ganze gestern in einer halben Stunde mit einer externen Postgres Datenbank eingerichtet. Der erste Eindruck der Anwendung ist sehr gut. Beste Gr√ľ√üe 
A.Zimmer

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu Mehr Details