ServerzertifikatSchrittfuerSchritt
Zertifikate beantragen
Das MPE betreibt RAs (Registration Authority) fuer MPG- und Grid-Zertifikate nach der Global Hierarchie, welche vom DFN ausgestellt werden
- ["MPG Zertifikate"]
- ["GRID Zertifikate"]
Schrittweise von der Erzeugung des Zertifikatsantrags bis zur Installation des Zertifikats fuer Windows und Unix Rechner
- Schritt
Generieren des Certification Request
Dazu dient das Kommando /usr/local/ssl/bin/openssl req -new -key MyKey.pem -out MyReq.pem. Hier wird zunächst wieder nach der vorher eingegebenen pass phrase gefragt.
- Anschließend wird die ID des Schlüssels abgefragt. Dabei übernehmen Sie bitte bei allen Fragen die vorgegebenen Werte. Nur bei Common Name geben Sie Ihren Vor- und Nachnamen und bei Email Address Ihre email Adresse an.
- Zum Abschluß werden Sie noch nach einem "challenge password" gefragt, dies können Sie verwenden um Ihren Schlüssel bei der CA zu wiederrufen. Die letzte Frage nach einem "optional company name" lassen Sie bitte leer.
Nun haben Sie Ihr certification request generiert. Mit /usr/local/ssl/bin/openssl req -in MyReq.pem -text können Sie ihn sich anzeigen lassen.
2. Schritt Im Folgenden drucken Sie bitte die Benutzererklärung aus. Die key id entspricht hier dem Subject und der fingerprint der MD5 Prüfsumme. Die Prüfsumme ermitteln Sie mit /usr/local/ssl/bin/openssl md5 MyReq.pem. Unterschreiben Sie bitte die Erklärung noch nicht.
3. Schritt Nun können Sie einen Termin zum persönlichen Treffen mit einem Mitarbeiter der RA via eMail unter mpg-ra@mpe.mpg.de vereinbaren. Zu diesem Treffen bringen Sie bitte mit:
- die ausgefüllte Benutzererklärung
- Ihren gültigen Ausweis
Bei diesem Treffen unterschreiben Sie im Beisein eines Mitarbeiters der RA die Teilnehmererklärung und erhalten eine Liste mit sämtlichen Fingerprints der von der CA verwendeten Schlüssel. Anhand dieser fingerprints können Sie die Authentizität des Zertifikates der CA überprüfen.
4. Schritt Sobald die CA Ihren Schlüssel zertifiziert hat, bekommen Sie ihn an die in der Schlüssel-ID angegebene Adresse zugesendet. Da die Zertifizierung offline erfolgt, kann dies einige Tage dauern.
5. Schritt Das erhaltene Zertifikat müssen Sie nun mit Ihrem privaten Schlüssel (hier: MyKey.pem) verbinden und in das pkcs12 Format konvertieren, bevor sie es in Ihren browser importieren können. Dazu dient das Kommando /usr/local/ssl/bin/openssl pkcs12 -inkey MyKey.pem -in MyCert.pem -out MyCert.p12 -export". Dabei werden Sie zunächste wieder nach der pass phrase gefragt, mit der Ihr geheimer Schlüssel geschützt ist. Im Anschluß vergeben Sie ein Kennwort mit dem die Exportdatei geschützt ist (sie enthält u.a. Ihren privaten Schlüssel).
6. Schritt Zuletzt müssen Sie nur noch Ihr Zertifikat in Ihren browser importieren. Bei der engl. Version des Communicators (netscape) klicken Sie bitte auf das Symbol security, es erscheint ein neues Fenster. Dort klicken Sie auf Certificates/Yours. Hier wählen Sie den Knopf Import Certificate. Sie werden nun nach dem Kennwort gefragt mit dem netscape Ihre Zertifikate schützt. Anschließend wählen Sie die Datei, die Ihr Zertifikat enthält (MyCert.p12) aus und geben das import/export Kennwort an. Nun ist das Zertifikat in netscape importiert. Wenn Sie nun Ihr Zertifikat zur Kommunikation via eMail verwenden möchten, wählen Sie im selben Fenster den Punkt messenger an und nehmen Sie die gewünschten Einstellungen vor.
Nuetzliche Befehle mit openssl
/etc/ssl/private# openssl s_client -connect mpemail:443 -showcerts c_rehash openssl pkcs12 -in cert-203613067.p12 -out mpemail.pem -clcerts -nokeys
openssl x509 -in mpemail.pem -noout -text openssl pkcs7 -in tacar_certs.pem -outform pem -out tacar_certsout.pem -print_certs
pkcs12 -inkey ../Antrag/mpemailkey.pem -in cert-203613067.pem -out cert-203613067.p12 -export -name "MPEMail"
openssl pkcs12 -in cert-203613067.p12 -out mpemail-pw-key.pem -nocerts
- pkcs12 -in cert-203613067.p12 -out mpemai.pem -clcerts -nokeys
openssl pkcs12 -in cert-203613067.p12 -out mpemail.pem -clcerts -nokeys
- openssl rsa -in mpemail-pw-key.pem -out mpemail-key.pem