Erzeugen eines externen Schlüssels außerhalb des Browsers
Transcription
Erzeugen eines externen Schlüssels außerhalb des Browsers
Erzeugen eines externen Schlüssels außerhalb des Browsers für Nutzerzertifikate Sollten bei Ihnen Abhängigkeiten zwischen ihrem privaten Schlüsselteil und verwendeter Hardware und oder Software bestehen, ist die Verwendung eines externen Schlüssels ebenso möglich. Dieser Weg bietet sich auch für alle an, die Ihren Schlüssel nicht durch den Browser generieren lassen möchten. Beachten Sie dabei jedoch, dass zur sinnvollen Verwendung eines externen Schlüssels lokale Operationen auf Ihrem Schlüssel notwendig sind. Diese Operationen werden im Folgenden mit dem Kommandozeilentool OpenSSL durchgeführt. Bei Linux/Unix Betriebsystemen gehört OpenSSL normalerweise zum Standardinstallationsumfang. Nutzer des Betriebsystems Microsoft Windows können entsprechende OpenSSL-Versionen unter der URL http://www.openssl.org/related/binaries.html beziehen. Für die Zertifizierung Ihres externen Schlüssels sind dabei im Wesentlichen die folgenden Schritte durchzuführen, die je nach Ihrer bisherigen Schlüsselverwendung einzeln bereits ausgeführt sein können. In diesem Fall können die entsprechenden Abschnitte übersprungen werden. 1. Erzeugung eines externen Schlüssels 2. Erzeugung einer DFN-konformen Zertifikatanforderung 3. Import Ihrer Zertifikatanforderung in den RWTH-DFN-Webservice 4. Bildung Ihrer Schlüsseleinheit aus Schlüssel und Zertifikat 5. Import Ihres neuen Schlüssel in Ihre Anwendungen 5.1. Import in den Internet Explorer und Microsoft Outlook 5.2. Import in Firefox 5.3. Import in Thunderbird 1. Erzeugung eines externen Schlüssels Sollten Sie bisher noch keinen Schlüssel generiert haben und trotz der Möglichkeit zur automatischen Generierung eines Schlüssels durch den Webservice des DFN einen externen Schlüssel verwenden wollen, so generieren Sie zunächst Ihren privaten Schlüsselteil mit dem folgenden Kommando: >openssl genrsa -out private.pem 2048 Der letzte Parameter des Kommandos stellt dabei die Schlüssellänge dar, die mit minimal 2048 Bit vorgegeben ist. 2. Erzeugung einer DFN-konformen Zertifikatanforderung Mit dem folgenden Kommando wird aus Ihrem privaten Schlüsselteil ein DFN-konformes Zertifikatsrequest gebildet. Sollten Sie bereits ein Zertifikatsrequest erzeugt haben, welches die unten angegebenen Anforderungen erfüllt, können Sie Ihr bereits vorhandenes für den nächsten Schritt nutzen. >openssl req -new -key private.pem -out request.pem Anschließend werden durch OpenSSL die einzelnen Parameter Ihres Schlüsselrequest abgefragt. Bitte beachten Sie dabei jedoch die folgenden Hinweise, da andernfalls Ihr Zertifikat nicht ausgestellt werden kann. Attribut Kürzel Beispiele Bemerkungen Country Name State or Province Name Locality Name C ST L DE Nordrhein-Westfalen Aachen Organization Name Organizational Unit Name O OU RWTH Aachen Rechen- und Kommunikationszentrum commonName CN Ihr vollständiger Name Max Mustermann bitte Großbuchstaben optional, aber wenn, dann bitte genau wie im Beispiel schreiben exakte Schreibweise beachten! offizielle Bezeichnung der Einrichtung. Keine Umlaute. Abkürzungen zulässig. Name des Benutzers, wie er auch im Personalausweis eingetragen ist. Eindeutige RWTH-EmailAdresse mit der Sie S/MIME nutzen möchten. Email nachname@rz.rwth-aachen.de 3. Import Ihrer Zertifikatanforderung in den RWTH-DFN-Webservice Ein Import Ihres Zertifikatsrequest in den Webservice des DFN ist unter der URL https://pki.pca.dfn.de/rwth-ca/pub möglich. Wählen Sie dort bitte die folgenden Menüpunkte: Zertifikate > Serverzertifikat Achtung: Obwohl es sich bei Ihrem Antrag um ein Userzertifikat handelt, ist der Menüeintrag „Serverzertifikat“ richtig, da nur hier ein Import Ihres bereits bestehenden Zertifikats möglich ist. Wählen Sie nun unter dem Eintrag „PKCS#10-Zertifikatantrag (PEM-formatierte Datei)“ die in Abschnitt 2. erzeugte Datei request.pem aus. Außerdem muss als „Zertifikatsprofil“ der Eintrag „User“ gewählt werden. Anschließend füllen Sie bitte das Formular vollständig aus und betätigen die Schaltfläche „weiter“. Folgen Sie nun den Anweisungen des Webdienstes und beachten Sie beim ausfüllen Ihres Antragsformulars ebenfalls die Hinweise im Leitfaden zur Nutzung des neuen DFN-PKI Zertifizierungsdienstes. Insbesondere ist die Angabe der letzten 5 Ziffern des Personalausweises verpflichtend. 4. Bildung Ihrer Schlüsseleinheit aus Schlüssel und Zertifikat Nachdem Ihr Antrag durch die RWTH RA bestätigt und von der DFN CA unterzeichnet wurde, erhalten sie vom DFN eine Email mit Ihrem fertigen Zertifikat als PEM-formatierte Datei. Um dieses Zertifikat in Ihren Anwendungen nutzen zu können, muss es mit Ihrem privaten Schlüsselteil zu einer Einheit verbunden werden. Führen Sie dazu den folgenden Befehl aus. > openssl pkcs12 -export -name "Ihr Name" -in cert.pem -inkey private.pem -out schluessel.p12 Achtung: Alles in eine Zeile! Außerdem sind die Anführungszeichen um Ihren Namen zu beachten. cert.pem ist Ihr vom DFN erhaltenes Zertifikat. OpenSSL fragt nun ein Passwort für die Erzeugung der Datei „schluessel.p12“ ab. Mit diesem Passwort wird diese Datei gesichert. Beachten Sie, dass Sie dieses Passwort bei einem Import in Ihre Anwendungen wieder benötigen. Die neu erzeugte Datei „schluessel.p12“ enthält sowohl Ihren privaten Schlüsselteil als auch das Zertifikat des DFN. Diese Datei kann nun in Ihre bestehenden Anwendungen intrigiert werden. Achtung: Die Dateien private.pem und schluessel.p12 enthalten Ihre private Schlüsselkomponente. Sichern Sie diese Dateien dementsprechend sorgfältig und sorgen sie dafür, dass diese Dateien nicht weitergegeben werden können. 5. Import Ihres neuen Schlüssel in Ihre Anwendungen Um Ihr neues Zertifikat in Ihren Anwendungen nutzen zu können, muss dieses in die jeweilige Anwendung importiert werden. Beachten Sie dabei, dass es zu einem Namenskonflikt in der jeweiligen Anwendung kommen kann. In diesem Fall haben sie zwei Schlüssel die auf den gleichen Namen ausgestellt sind in Ihrem Zertifikatspeicher. Sie können Ihren alten von Ihrem neuen Schlüssel anhand der CA unterscheiden, welche die Zertifizierung vorgenommen hat. Alte Schlüssel sind von der „RWTH-CA 2“ neue von der „RWTH CA“ ausgestellt. Trotzdem ist es sinnvoll Ihren alten Schlüssel nicht zu löschen, da dieser evtl. noch zur Verifizierung bzw. Entschlüsselung alter Nachrichten notwendig sein kann. 5.1. Import in den Internet Explorer und Microsoft Outlook Um Ihren Schlüssel in den Internet Explorer oder Microsoft Outlook zu importieren, öffnen Sie zunächst den Internet Explorer. Wählen Sie dort die Menüpunkte: Extras > Internet Optionen > Inhalte Zertifikate > Importieren > Weiter Wählen Sie dort Ihren Schlüssel aus. Dabei handelt es sich um die Datei „schluessel.p12 aus Abschnitt 4. Anschließend betätigen Sie die Schaltfläche „Weiter“. Der ZertifikatsimportAssistent erwartet nun die Eingabe des Passwortes, mit welchem der Schlüssel gesichert wurde. Sie haben dieses Passwort in Abschnitt 4. festgelegt, geben Sie dieses hier nun erneut an. Abschließend kann der Import über die folgenden Schaltflächen abgeschlossen werden: Weiter > Weiter > Fertigstellen > Ok Da der Internet Explorer und Microsoft Outlook denselben Zertifikatspeicher nutzen, ist die Verwendung nun in beiden Programmen möglich. Damit Ihr Emailverkehr mit dem neunen Schlüssel signiert werden kann, muss dieser noch innerhalb von Outlook aktiviert werden. Starten Sie dazu bitte zunächst Outlook. Dort wählen Sie in den Optionen die folgenden Menüpunkte: Extras > Optionen > Sicherheit > Einstellungen In diesem Dialogfeld befinden sich zwei Auswahlschaltflächen. Wählen Sie die Auswahlschaltfläche „Signaturzertifikat“. In dem nun folgenden Dialog werden Ihre verfügbaren Zertifikate gelistet. Wählen Sie Ihr DFN Zertifikat und bestätigen Sie die den Dialog mit der Schaltfläche „Ok“. Schließen Sie anschließend den Dialog „Sicherheitseinstellungen ändern“ mit „Ok“. In dem noch offenen Dialogfeld „Optionen > Sicherheit“ aktivieren Sie noch das Kontrollkästchen vor dem Menüpunkt „nachrichten digitale Signatur hinzufügen“. Abschließend speichern Sie Ihre Einstellungen mit der Schaltfläche „Übernehmen“ und schließen den Dialog über die Schaltfläche „Ok“. 5.2. Import in Firefox Um Ihren Schlüssel in Firefox zu importieren, starten Sie zunächst den Firefox. Dort wählen Sie die folgenden Menüpunkte: Extras > Einstellungen > Erweitert > Verschlüsselung > Zertifikate anzeigen > Importieren Im folgenden Dialog müssen Sie nun die Datei „schluessel.p12“ aus Abschnitt 4. auswählen. Bestätigen Sie Ihre Auswahl mit Öffnen. Anschließend werden Sie nach Ihrem Firefox Master Passwort gefragt. Firefox sichert seinen Zertifikatspeicher mit diesem Passwort. Dabei sind grundsätzlich zwei Fälle zu unterscheiden. 1. Sie haben bisher noch kein Passwort vergeben, dann können Sie jetzt ein Passwort frei wählen. 2. Sie haben bereits ein Passwort festgelegt, dann müssen Sie dieses Passwort jetzt angeben. Abschließend müssen Sie noch das Passwort eingeben mit dem der Schlüssel gesichert wurde, Sie haben dieses Passwort in Abschnitt 4. festgelegt. Ohne dieses Passwort kann Ihr Schlüssel nicht importiert werden. Bitte schließen Sie den Vorgang über folgende Schaltflächen ab. Ok > Ok > Ok > Ok Ihr SSL-S/MIME-Schlüssel ist nun in Firefox verwendbar. 5.3. Import in Thunderbird Um Ihren Schlüssel in Thunderbird zu importieren, starten Sie zunächst den Thunderbird. Dort wählen Sie die folgenden Menüpunkte: Extras > Konten > S/MIME Sicherheit > Zertifikate > Importieren Im folgenden Dialog müssen Sie nun die Datei „schluessel.p12“ aus Abschnitt 4. auswählen. Bestätigen Sie Ihre Auswahl mit Öffnen. Anschließend werden Sie nach Ihrem Thunderbird Master Passwort gefragt. Thunderbird sichert seinen Zertifikatspeicher mit diesem Passwort. Dabei sind grundsätzlich zwei Fälle zu unterscheiden. 1. Sie haben bisher noch kein Passwort vergeben, dann können Sie jetzt ein Passwort frei wählen. 2. Sie haben bereits ein Passwort festgelegt, dann müssen Sie dieses Passwort jetzt angeben. Abschließend müssen Sie noch das Passwort eingeben mit dem der Schlüssel gesichert wurde, Sie haben dieses Passwort in Abschnitt 4. festgelegt. Ohne dieses Passwort kann Ihr Schlüssel nicht importiert werden. Bitte schließen Sie den Vorgang über folgende Schaltflächen ab. Ok > Ok > Ok Ihr SSL / S/MIME-Schlüssel ist nun in Thunderbird verwendbar. Damit Ihr Emailverkehr mit dem neunen Schlüssel signiert werden kann, muss dieser noch innerhalb von Thunderbird aktiviert werden. Starten Sie dazu bitte zunächst Thunderbird. Dort wählen Sie in den Optionen die folgenden Menüpunkte: Extras > Konten > S/MIME Sicherheit Wählen Sie nun die Schaltfläche „Auswählen“ im Bereich „Digitale Unterschrift“. In den sich nun öffnenden Dialogfenster sollte Ihr eigenes Zertifikat gelistet sein. Bestätigen Sie die Auswahl mit „Ok“. Im folgenden sich öffnenden Dialog wird zusätzlich nachgefragt, ob Ihr Zertifikat auch zum Verschlüsseln verwendet werden darf. Bestätigen Sie dies ebenfalls mit „Ok“. Abschließend aktivieren Sie noch das Kontrollkästchen „Nachricht digital unterschreiben (als Standard)“ im noch offenen Fenster „Konten S/MIME Sicherheit“. Alle ausgehenden Emails werden nun automatisch mit Ihrem Zertifikat digital unterschrieben.