Subject: Deutschsprachige CAcert Support Liste
List archive
- From: reinhard <reinhard AT cacert.org>
- To: cacert-de AT lists.cacert.org
- Subject: Re: SSL Zertifikat lässt nich nicht erstellen
- Date: Mon, 08 Jun 2015 13:50:01 +0200
Hallo Lutz,
diese kleine Bastelanleitung funktioniert, sofern Du ein Linux System
hast, z.B. OpenSUSE, und diese Tools installierst:
openssl
gnutls
Dann klappt
zur besseren Übersicht ein neues Verzeichnis erzeugen mit
mkdir mydir
und wechseln in dieses Verzeichnis mit
cd mydir
Nun wird zuerst der private Schlüsel mit einer Länge von 4096 Bytes gebaut
## create key rsa
openssl genrsa -out client.key 4096
Anschliessend einfach mal die Grafik zur Entropie betrachten
Falls das Ergebnis nicht gefällt, obigen Schritt einfach wiederholen!
## check entropy and continue or create new key
certtool --key-info < client.key
Jetzt den CSR generieren
## create certificate signing request
## all empty fields enter '.' a simple dot
openssl req -new -key client.key -out cert.csr
und das Ergebnis angucken.
certtool --crq-info < cert.csr
## enter cacert page and login
## create new certificate
## choose class1 or class 3 signer
Class 3 preferred!!!
## download certificate in format cer
## link together new certificate and keys
openssl pkcs12 -export -out XXX-sn.p12 -inkey client.key -in XXX-sn.cer
-name "XXX-sn"
Der Name XXX-sn ist frei wählbar. Ich halte das für meine Zertifikate
so, dass ich mit XXX einen Account und mit sn die Seriennummer des
Zertifikats bezeichne. Bei mehreren Servern und vielen Emailadressen
komme ich sonst viel zu leicht durcheinander :-(
Beim Abspeichern wird die Eingabe einer Passphrase verlangt. Die sollte
scharf sein. Es hängt davon ab, wo das Zertifikat letztlich aufbewahrt wird.
Es ist bestimmt eine gute Idee, das Endergebnis *p12 auf CD zu brennen,
dort zu prüfen, dass man damit richtig arbeiten kann und das Vereichnis
mydir zu löschen, z.B. mit wipe.
## check certificate
certtool --inraw --p12-info < XXX-sn.p12
Man kann nun das erzeugte *p12 in den Browser sowie in das Emailprogramm
importieren. Mann kan es aber auch lassen und liest es bei Bedarf
jedesmal von der CD ein. Oder kopiert es auf eine Smartcard. Oder ....
Sollte der Import in Frage kommen, bitte zuerst ein Masterpasswort setzen.
VG Reinhard
Am 08.06.2015 um 12:00 schrieb Seidel, Michael:
> Hallo Lutz,
>
> du darfst nicht einfach nur deine Daten in das Signierungsfeld in Klartext
> eintragen, das wird _nicht_ funktionieren.
>
> Vereinfacht gesagt:
>
> So ein Zertifikat ist in zwei Teile aufgeteilt, ein Öffentliches und ein
> Privates.
>
> Der Private Teil wird von dir erstellt. Dafür gibt es verschiedene Tools,
> am besten funktioniert dies mit dem openssl paket auf einer Linux Kiste,
> aber das ist Geschmackssache. Von einem Online Generierungstool über irgend
> eine Website rate ich ab!
>
> Mit diesem Privaten Teil wird über das bereits genannte GenCSR script ein
> Certificate Signing Request generiert. Dieser ist Quer-Verschlüsselt mit
> deinem Privaten Teil. Dementsprechend kannst du diesen gar nicht auf der
> CAcert Seite generieren. Diese hat keine Möglichkeit deinen Privaten zu
> erstellen - Und darf diese Möglichkeit auch gar nicht haben.
>
> Also: Normaler Weg: Privaten Teil erstellen, CSR Generieren, CSR auf CAcert
> Website in der entsprechenden Rubrik unterschreiben lassen, danach Erhältst
> du auf der nächsten Seite einen "neuen" Öffentlichen Teil angezeigt dem du
> jedem geben kannst. -> Dies ist dein von CAcert Unterschriebener
> Öffentlicher Teil.
>
> Gruß,
>
> Michael Seidel
>
>
> -----Ursprüngliche Nachricht-----
> Von:
> cacert-de-request AT lists.cacert.org
>
> [mailto:cacert-de-request AT lists.cacert.org]
> Im Auftrag von Schnell Lutz
> Gesendet: Montag, 8. Juni 2015 11:48
> An:
> cacert-de AT lists.cacert.org
> Betreff: Re: SSL Zertifikat lässt nich nicht erstellen
>
>
>> Am 08.06.2015 um 11:36 schrieb Sascha Ternes
>> <sascha.ternes AT gmx.de>:
>>
>> Hallo Lutz,
>>
>> Du findest im CAcert-Wiki einen CSR-Generator:
>> https://wiki.cacert.org/CSRGenerator
>> Damit funktioniert das Erstellen sehr einfach.
> Na ja, einfach….
>
> Verstehe ich das jetzt richtig, daß ich das Zertifikat selbst erstellen
> muß, und es dann von CaCert bestätigen lasse, indem ich es in das Feld
> paste?
>
Attachment:
smime.p7s
Description: S/MIME Cryptographic Signature
- SSL Zertifikat lässt nich nicht erstellen, Schnell Lutz, 06/08/2015
- Re: SSL Zertifikat lässt nich nicht erstellen, Matthias Link, 06/08/2015
- Re: SSL Zertifikat lässt nich nicht erstellen, Sascha Ternes, 06/08/2015
- Re: SSL Zertifikat lässt nich nicht erstellen, Schnell Lutz, 06/08/2015
- Re: SSL Zertifikat lässt nich nicht erstellen, Sascha Ternes, 06/08/2015
- Re: SSL Zertifikat lässt nich nicht erstellen, Schnell Lutz, 06/08/2015
- Re: SSL Zertifikat lässt nich nicht erstellen, Martin Schoenbeck, 06/08/2015
- Re: SSL Zertifikat lässt nich nicht erstellen, Schnell Lutz, 06/08/2015
- Re: SSL Zertifikat lässt nich nicht erstellen, Martin Schoenbeck, 06/08/2015
- Re: SSL Zertifikat lässt nich nicht erstellen, Schnell Lutz, 06/08/2015
- Re: SSL Zertifikat lässt nich nicht erstellen, Matthias Bergt, 06/08/2015
- AW: SSL Zertifikat lässt nich nicht erstellen, Seidel, Michael, 06/08/2015
- Re: SSL Zertifikat lässt nich nicht erstellen, reinhard, 06/08/2015
- Re: SSL Zertifikat lässt nich nicht erstellen, Mathias Mahnke, 06/09/2015
- Re: SSL Zertifikat lässt nich nicht erstellen, reinhard, 06/08/2015
- Re: SSL Zertifikat lässt nich nicht erstellen, Sascha Ternes, 06/08/2015
- Re: SSL Zertifikat lässt nich nicht erstellen, Schnell Lutz, 06/08/2015
- Re: SSL Zertifikat lässt nich nicht erstellen, reinhard, 06/08/2015
- Re: SSL Zertifikat lässt nich nicht erstellen, Eva Stöwe, 06/08/2015
- Re: SSL Zertifikat lässt nich nicht erstellen, Sascha Ternes, 06/08/2015
- Re: SSL Zertifikat lässt nich nicht erstellen, Matthias Link, 06/08/2015
Archive powered by MHonArc 2.6.18.