Privacy-Handbuch

Mirror von awxcnx.de, Stand: 2013-05-13
Eine aktuelle Version gibt es hier: privacy-handbuch.de oder bei Wikibooks

Wer eine eigene Certification Authority (CA) betreiben möchte, benötigt etwas Erfahrung, einige kleine Tools und ein paar Byte Webspace, um das eigene Root-Zertifikate, die Revocation List und die Policy der CA dort zum Download bereitzustellen.

Die OpenSSL-Bibliothek enthält alle nötigen Funktionen, um eine eigene CA zu verwalten. Die Hardcore Version auf der Kommandozeile hat M. Heimpold im Mini-Howto zur Zertifikats­erstellung beschrieben.

Komfortabler geht es mit dem GUI TinyCA. Unter Debian GNU/Linux und Ubuntu kann man das Tool wie üblich installieren: # aptitude install tinyca Nach dem Start mit dem Kommando "tinyca2" werden in zwei Dialogen die Angaben zum Root-Zertifikat der CA abgefragt. Da TinyCA problemlos mehrere CAs verwaltet, kann man erst einmal mit einem Test beginnen.
Anlegen einer neuen CA
Der Common Name der CA kann frei gewählt werden. Das Passwort sollte man sich gut überlegen und keinesfalls vergessen. Mit einem Klick auf "Ok" erscheint ein zweiter Dialog mit weiteren Angaben zur CA. Wichtig sind hier die URL der Revocation List für zurück­gezogene Zertifikate und die URL der Policy der CA. Die Policy ist ein HTML-Dokument, welches beschreibt, wer ein Zertifikat von dieser CA erhalten kann, also z.B. etwas in der Art: "Nur für persönlich Bekannte!"

Im Anschluss können die E-Mail Zertifikate der Nutzer erstellt werden. Die nötigen Angaben sind selbsterklärend. Mit einem Klick auf "Ok" wird das S/MIME-Zertifikat erstellt und mit dem Root-Zertifikat der CA signiert. Dabei wird das Password für den geheimen Key der CA abgefragt.
S/MIME Zertifikat erstellen
Um einem Nutzer sein Zertifikat zur Verfügung zu stellen, ist es in eine Datei zu exportieren. Das PKCS#12-Format (*.p12) enthält den geheimen und den öffentlichen Schlüssel, ist mit einem Passwort gesichert und kann von allen E-Mail Clients importiert werden.
Zertifikat exportieren
Das Root-Zertifikat der CA ist als DER- oder PEM-Format zu exportieren. Diese Datei enthält nur den öffentlichen Schlüssel des Zertifikates und kann zum Download bereitgestellt werden. Außerdem ist regelmäßig eine Revocation List mit abgelaufenen oder zurückgezogenen Zertifikaten zu erstellen und ebenfalls zum Download unter der angegebenen URL bereit­zustellen. Die Oberfläche bietet für beide Aufgaben einen Button in der Toolbar.
Lizenz: Public Domain | Quelle: awxcnx.de | gespiegelt von almnet.de | Impressum