Erzeugen eines externen Schlüssels außerhalb des Browsers

Erzeugen eines externen Schlüssels außerhalb des Browsers
für Nutzerzertifikate
Sollten bei Ihnen Abhängigkeiten zwischen ihrem privaten Schlüsselteil und verwendeter
Hardware und oder Software bestehen, ist die Verwendung eines externen Schlüssels ebenso
möglich. Dieser Weg bietet sich auch für alle an, die Ihren Schlüssel nicht durch den Browser
generieren lassen möchten.
Beachten Sie dabei jedoch, dass zur sinnvollen Verwendung eines externen Schlüssels lokale
Operationen auf Ihrem Schlüssel notwendig sind. Diese Operationen werden im Folgenden
mit dem Kommandozeilentool OpenSSL durchgeführt. Bei Linux/Unix Betriebsystemen
gehört OpenSSL normalerweise zum Standardinstallationsumfang. Nutzer des Betriebsystems
Microsoft Windows können entsprechende OpenSSL-Versionen unter der URL
http://www.openssl.org/related/binaries.html beziehen.
Für die Zertifizierung Ihres externen Schlüssels sind dabei im Wesentlichen die folgenden
Schritte durchzuführen, die je nach Ihrer bisherigen Schlüsselverwendung einzeln bereits
ausgeführt sein können. In diesem Fall können die entsprechenden Abschnitte übersprungen
werden.
1. Erzeugung eines externen Schlüssels
2. Erzeugung einer DFN-konformen Zertifikatanforderung
3. Import Ihrer Zertifikatanforderung in den RWTH-DFN-Webservice
4. Bildung Ihrer Schlüsseleinheit aus Schlüssel und Zertifikat
5. Import Ihres neuen Schlüssel in Ihre Anwendungen
5.1. Import in den Internet Explorer und Microsoft Outlook
5.2. Import in Firefox
5.3. Import in Thunderbird
1. Erzeugung eines externen Schlüssels
Sollten Sie bisher noch keinen Schlüssel generiert haben und trotz der Möglichkeit zur
automatischen Generierung eines Schlüssels durch den Webservice des DFN einen externen
Schlüssel verwenden wollen, so generieren Sie zunächst Ihren privaten Schlüsselteil mit dem
folgenden Kommando:
>openssl genrsa -out private.pem 2048
Der letzte Parameter des Kommandos stellt dabei die Schlüssellänge dar, die mit minimal
2048 Bit vorgegeben ist.
2. Erzeugung einer DFN-konformen Zertifikatanforderung
Mit dem folgenden Kommando wird aus Ihrem privaten Schlüsselteil ein DFN-konformes
Zertifikatsrequest gebildet. Sollten Sie bereits ein Zertifikatsrequest erzeugt haben, welches
die unten angegebenen Anforderungen erfüllt, können Sie Ihr bereits vorhandenes für den
nächsten Schritt nutzen.
>openssl req -new -key private.pem -out request.pem
Anschließend werden durch OpenSSL die einzelnen Parameter Ihres Schlüsselrequest
abgefragt. Bitte beachten Sie dabei jedoch die folgenden Hinweise, da andernfalls Ihr
Zertifikat nicht ausgestellt werden kann.
Attribut
Kürzel Beispiele
Bemerkungen
Country Name
State or Province Name
Locality Name
C
ST
L
DE
Nordrhein-Westfalen
Aachen
Organization Name
Organizational Unit
Name
O
OU
RWTH Aachen
Rechen- und Kommunikationszentrum
commonName
CN
Ihr vollständiger Name
Max Mustermann
bitte Großbuchstaben
optional, aber wenn, dann bitte
genau wie im Beispiel
schreiben
exakte Schreibweise beachten!
offizielle Bezeichnung der
Einrichtung. Keine Umlaute.
Abkürzungen zulässig.
Name des Benutzers, wie er
auch im Personalausweis
eingetragen ist.
Eindeutige
RWTH-EmailAdresse mit der Sie S/MIME
nutzen möchten.
Email
[email protected]
3. Import Ihrer Zertifikatanforderung in den RWTH-DFN-Webservice
Ein Import Ihres Zertifikatsrequest in den Webservice des DFN ist unter der URL
https://pki.pca.dfn.de/rwth-ca/pub möglich. Wählen Sie dort bitte die folgenden Menüpunkte:
Zertifikate > Serverzertifikat
Achtung: Obwohl es sich bei Ihrem Antrag um ein Userzertifikat handelt, ist der
Menüeintrag „Serverzertifikat“ richtig, da nur hier ein Import Ihres bereits bestehenden
Zertifikats möglich ist.
Wählen Sie nun unter dem Eintrag „PKCS#10-Zertifikatantrag (PEM-formatierte Datei)“ die
in Abschnitt 2. erzeugte Datei request.pem aus. Außerdem muss als „Zertifikatsprofil“ der
Eintrag „User“ gewählt werden. Anschließend füllen Sie bitte das Formular vollständig aus
und betätigen die Schaltfläche „weiter“.
Folgen Sie nun den Anweisungen des Webdienstes und beachten Sie beim ausfüllen Ihres
Antragsformulars ebenfalls die Hinweise im Leitfaden zur Nutzung des neuen DFN-PKI
Zertifizierungsdienstes. Insbesondere ist die Angabe der letzten 5 Ziffern des
Personalausweises verpflichtend.
4. Bildung Ihrer Schlüsseleinheit aus Schlüssel und Zertifikat
Nachdem Ihr Antrag durch die RWTH RA bestätigt und von der DFN CA unterzeichnet
wurde, erhalten sie vom DFN eine Email mit Ihrem fertigen Zertifikat als PEM-formatierte
Datei. Um dieses Zertifikat in Ihren Anwendungen nutzen zu können, muss es mit Ihrem
privaten Schlüsselteil zu einer Einheit verbunden werden. Führen Sie dazu den folgenden
Befehl aus.
> openssl pkcs12 -export -name "Ihr Name" -in cert.pem -inkey private.pem
-out schluessel.p12
Achtung: Alles in eine Zeile! Außerdem sind die Anführungszeichen um Ihren Namen zu
beachten. cert.pem ist Ihr vom DFN erhaltenes Zertifikat.
OpenSSL fragt nun ein Passwort für die Erzeugung der Datei „schluessel.p12“ ab. Mit diesem
Passwort wird diese Datei gesichert. Beachten Sie, dass Sie dieses Passwort bei einem Import
in Ihre Anwendungen wieder benötigen.
Die neu erzeugte Datei „schluessel.p12“ enthält sowohl Ihren privaten Schlüsselteil als auch
das Zertifikat des DFN. Diese Datei kann nun in Ihre bestehenden Anwendungen intrigiert
werden.
Achtung: Die Dateien private.pem und schluessel.p12 enthalten Ihre private
Schlüsselkomponente. Sichern Sie diese Dateien dementsprechend sorgfältig und sorgen sie
dafür, dass diese Dateien nicht weitergegeben werden können.
5. Import Ihres neuen Schlüssel in Ihre Anwendungen
Um Ihr neues Zertifikat in Ihren Anwendungen nutzen zu können, muss dieses in die
jeweilige Anwendung importiert werden. Beachten Sie dabei, dass es zu einem
Namenskonflikt in der jeweiligen Anwendung kommen kann. In diesem Fall haben sie zwei
Schlüssel die auf den gleichen Namen ausgestellt sind in Ihrem Zertifikatspeicher. Sie können
Ihren alten von Ihrem neuen Schlüssel anhand der CA unterscheiden, welche die
Zertifizierung vorgenommen hat. Alte Schlüssel sind von der „RWTH-CA 2“ neue von der
„RWTH CA“ ausgestellt. Trotzdem ist es sinnvoll Ihren alten Schlüssel nicht zu löschen, da
dieser evtl. noch zur Verifizierung bzw. Entschlüsselung alter Nachrichten notwendig sein
kann.
5.1. Import in den Internet Explorer und Microsoft Outlook
Um Ihren Schlüssel in den Internet Explorer oder Microsoft Outlook zu importieren, öffnen
Sie zunächst den Internet Explorer. Wählen Sie dort die Menüpunkte:
Extras > Internet Optionen > Inhalte Zertifikate > Importieren > Weiter
Wählen Sie dort Ihren Schlüssel aus. Dabei handelt es sich um die Datei „schluessel.p12 aus
Abschnitt 4. Anschließend betätigen Sie die Schaltfläche „Weiter“. Der ZertifikatsimportAssistent erwartet nun die Eingabe des Passwortes, mit welchem der Schlüssel gesichert
wurde. Sie haben dieses Passwort in Abschnitt 4. festgelegt, geben Sie dieses hier nun erneut
an. Abschließend kann der Import über die folgenden Schaltflächen abgeschlossen werden:
Weiter > Weiter > Fertigstellen > Ok
Da der Internet Explorer und Microsoft Outlook denselben Zertifikatspeicher nutzen, ist die
Verwendung nun in beiden Programmen möglich.
Damit Ihr Emailverkehr mit dem neunen Schlüssel signiert werden kann, muss dieser noch
innerhalb von Outlook aktiviert werden. Starten Sie dazu bitte zunächst Outlook. Dort
wählen Sie in den Optionen die folgenden Menüpunkte:
Extras > Optionen > Sicherheit > Einstellungen
In diesem Dialogfeld befinden sich zwei Auswahlschaltflächen. Wählen Sie die
Auswahlschaltfläche „Signaturzertifikat“. In dem nun folgenden Dialog werden Ihre
verfügbaren Zertifikate gelistet. Wählen Sie Ihr DFN Zertifikat und bestätigen Sie die den
Dialog mit der Schaltfläche „Ok“. Schließen Sie anschließend den Dialog
„Sicherheitseinstellungen ändern“ mit „Ok“.
In dem noch offenen Dialogfeld „Optionen > Sicherheit“ aktivieren Sie noch das
Kontrollkästchen vor dem Menüpunkt „nachrichten digitale Signatur hinzufügen“.
Abschließend speichern Sie Ihre Einstellungen mit der Schaltfläche „Übernehmen“ und
schließen den Dialog über die Schaltfläche „Ok“.
5.2. Import in Firefox
Um Ihren Schlüssel in Firefox zu importieren, starten Sie zunächst den Firefox. Dort wählen
Sie die folgenden Menüpunkte:
Extras > Einstellungen > Erweitert > Verschlüsselung > Zertifikate anzeigen > Importieren
Im folgenden Dialog müssen Sie nun die Datei „schluessel.p12“ aus Abschnitt 4. auswählen.
Bestätigen Sie Ihre Auswahl mit Öffnen. Anschließend werden Sie nach Ihrem Firefox Master
Passwort gefragt. Firefox sichert seinen Zertifikatspeicher mit diesem Passwort.
Dabei sind grundsätzlich zwei Fälle zu unterscheiden.
1. Sie haben bisher noch kein Passwort vergeben, dann können Sie jetzt ein Passwort frei
wählen.
2. Sie haben bereits ein Passwort festgelegt, dann müssen Sie dieses Passwort jetzt
angeben.
Abschließend müssen Sie noch das Passwort eingeben mit dem der Schlüssel gesichert wurde,
Sie haben dieses Passwort in Abschnitt 4. festgelegt. Ohne dieses Passwort kann Ihr Schlüssel
nicht importiert werden.
Bitte schließen Sie den Vorgang über folgende Schaltflächen ab.
Ok > Ok > Ok > Ok
Ihr SSL-S/MIME-Schlüssel ist nun in Firefox verwendbar.
5.3. Import in Thunderbird
Um Ihren Schlüssel in Thunderbird zu importieren, starten Sie zunächst den Thunderbird.
Dort wählen Sie die folgenden Menüpunkte:
Extras > Konten > S/MIME Sicherheit > Zertifikate > Importieren
Im folgenden Dialog müssen Sie nun die Datei „schluessel.p12“ aus Abschnitt 4. auswählen.
Bestätigen Sie Ihre Auswahl mit Öffnen. Anschließend werden Sie nach Ihrem Thunderbird
Master Passwort gefragt. Thunderbird sichert seinen Zertifikatspeicher mit diesem Passwort.
Dabei sind grundsätzlich zwei Fälle zu unterscheiden.
1. Sie haben bisher noch kein Passwort vergeben, dann können Sie jetzt ein Passwort frei
wählen.
2. Sie haben bereits ein Passwort festgelegt, dann müssen Sie dieses Passwort jetzt
angeben.
Abschließend müssen Sie noch das Passwort eingeben mit dem der Schlüssel gesichert wurde,
Sie haben dieses Passwort in Abschnitt 4. festgelegt. Ohne dieses Passwort kann Ihr Schlüssel
nicht importiert werden.
Bitte schließen Sie den Vorgang über folgende Schaltflächen ab.
Ok > Ok > Ok
Ihr SSL / S/MIME-Schlüssel ist nun in Thunderbird verwendbar.
Damit Ihr Emailverkehr mit dem neunen Schlüssel signiert werden kann, muss dieser noch
innerhalb von Thunderbird aktiviert werden. Starten Sie dazu bitte zunächst Thunderbird.
Dort wählen Sie in den Optionen die folgenden Menüpunkte:
Extras > Konten > S/MIME Sicherheit
Wählen Sie nun die Schaltfläche „Auswählen“ im Bereich „Digitale Unterschrift“. In den sich
nun öffnenden Dialogfenster sollte Ihr eigenes Zertifikat gelistet sein. Bestätigen Sie die
Auswahl mit „Ok“. Im folgenden sich öffnenden Dialog wird zusätzlich nachgefragt, ob Ihr
Zertifikat auch zum Verschlüsseln verwendet werden darf. Bestätigen Sie dies ebenfalls mit
„Ok“. Abschließend aktivieren Sie noch das Kontrollkästchen „Nachricht digital
unterschreiben (als Standard)“ im noch offenen Fenster „Konten S/MIME Sicherheit“.
Alle ausgehenden Emails werden nun automatisch mit Ihrem Zertifikat digital unterschrieben.