Die verschiedenen Certification Authoroties (CAs) bieten ein Webinterface, um nach der Überprüfung der Identität ein signiertes Zertifikat zu erstellen. In der Regel stehen zwei Wege zur Auswahl:
- Der Anbieter (CA) führt den kompletten Vorgang aus: die Generierung des privaten Key inklusive Sicherung mit einer Passphrase, die Generierung des Certification Request (CSR), die Signierung des CSR und die Erstellung der Zertifikatsdatei mit privatem und öffentlichem Schlüssel.
CAcert.org hat eine Lösung entwickelt, den privaten Key im Browser des Nutzers zu generieren und nur den CSR (public Key) zur Signatur auf den eigenen Server zu laden. Viele CAs generieren aber beide Schlüssel auf dem eigene Server und haben damit auch Zugriff auf den Private Key.
- Der Anwender generiert den privaten Key und den CSR selbst, lädt nur den CSR auf den Server des Anbieters, der CSR wird dort signiert und als Zertifikat wieder zum Download bereitgestellt.
Da die Sicherheit asymmetrischer Verschlüsselung davon abhängt, dass
nur der Anwender Zugriff auf den privaten Schlüssel hat, sollte man sich die Mühe machen und den zweiten Weg gehen. Anderenfalls ist es möglich, dass der private Schlüssel bereits bei der Erstellung kompromittiert wird. Man sollte den Certification Authorithies nicht blind vertrauen.
Die OpenSSL-Bibliothek enthält alles Nötige. Die Tools sind unter Linux installiert. Ein grafisches Interface ist
TinyCA.
Schrittweise Anleitung für die Kommandozeile
- Generieren eines passwortgeschützten privaten Schlüssels in der Datei "mein.key":
> openssl genrsa -out mein.key -des3 2048
- Generieren eines Certification Request (CSR) in der Datei "mein.csr", die folgenden Daten werden dabei abgefragt:
> openssl req -new -key mein.key -out mein.csr
Enter pass phrase for mein.key:
....
Country Name (2 letter code) [AU]: DE
State or Province Name (full name) []: Berlin
Locality Name (eg, city) []: Berlin
Organization Name (eg, company) []: privat
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []: Max Musterman
Email Address []: max@musterman.de
- Den CSR übergibt man der CA. Die Datei enthält nur den öffentlichen Schlüssel. Die CA signiert diesen CSR und man erhält ein signiertes Zertifikat als Datei "mein.crt" via E-Mail oder als Download Link.
- Das Zertifikat "mein.crt" kann man an alle Kommunikationspartner verteilen.
- Für den Import im eigenen E-Mail Client fügt man privaten Schlüssel und signiertes Zertifikat zu einer PKCS12-Datei "mein.p12" zusammen.
> openssl pkcs12 -export -in mein.crt -inkey mein.key -out mein.p12
Diese passwortgeschützte Datei kann in allen E-Mail Clients importiert werden und sollte sicher verwahrt werden.