Privacy Handbuch

Die verschiedenen Certification Authoroties (CAs) bieten ein Webinterface, um nach der Überprüfung der Identität ein signiertes Zertifikat zu erstellen. Es gibt zwei Wege:
  1. Die CA führt den kompletten Vorgang auf einer Webseite aus: die Generierung des privaten Schlüssel inklusive Sicherung mit einer Passphrase, die Generierung des Certification Request (CSR), die Signierung des CSR und die Erstellung der Zertifikatsdatei mit privatem und öffentlichem Schlüssel.

    Die CAs versprechen, dass der private Schlüssel im Browser des Nutzers generiert wird und nicht auf den Server der CA hochgeladen wird. Es ist aber für die CA recht einfach möglich, den privaten Schlüssel unbemerkt zu kompromittieren.
  2. Der Anwender erstellt den privaten Schlüssel und den Certification Request (CSR) auf dem eigenen Rechner selbst. Dann wird nur der CSR mit dem öffentlichen Schlüssel zum Server der CA geladen, signiert und als Zertifikat zum Download bereitgestellt.

    Auf diesem Weg ist sichergestellt, dass der private Schlüssel nie den Rechner des Anwenders verlässt.
Da die Sicherheit asymmetrischer Verschlüsselung davon abhängt, dass nur der Anwender Zugriff auf den privaten Schlüssel hat, sollte man sich die Mühe machen und den zweiten Weg gehen. Anderenfalls ist es möglich, dass der private Schlüssel bereits bei der Erstellung kompromittiert wird. Man kann den Certification Authorithies nicht blind vertrauen.

Schrittweise Anleitung für die Kommandozeile

Die OpenSSL-Bibliothek enthält alles Nötige. Die Tools sind unter Linux installiert.
  1. Generieren eines passwortgeschützten privaten Schlüssels in der Datei "mein.key": > openssl genrsa -out mein.key -des3 4096
  2. Generieren eines Certification Request (CSR) in der Datei "mein.csr", die folgenden Daten werden dabei abgefragt: > openssl req -new -key mein.key -out mein.csr
    Enter pass phrase for mein.key:
    ....
    Country Name (2 letter code) [AU]: DE
    State or Province Name (full name) []: Berlin
    Locality Name (eg, city) []: Berlin
    Organization Name (eg, company) []: privat
    Organizational Unit Name (eg, section) []:
    Common Name (eg, YOUR name) []: Max Musterman
    Email Address []: max@musterman.de
  3. Den CSR übergibt man der CA. Die Datei enthält nur den öffentlichen Schlüssel. Die CA signiert diesen CSR und man erhält ein signiertes Zertifikat als Datei "mein.crt" via E-Mail oder als Download Link.
  4. Das Zertifikat "mein.crt" kann man an alle Kommunikationspartner verteilen.
  5. Für den Import im eigenen E-Mail Client fügt man privaten Schlüssel und signiertes Zertifikat zu einer PKCS12-Datei "mein.p12" zusammen. > openssl pkcs12 -export -in mein.crt -inkey mein.key -out mein.p12 Diese passwortgeschützte Datei kann in allen E-Mail Clients importiert werden und sollte sicher verwahrt werden.
Lizenz: Public Domain