Sie befinden sich im Service: Zertifikate

mit OpenSSL/LibreSSL

mit OpenSSL/LibreSSL

 

Detailinformation

1. RSA-Schlüssel generieren

PRIVATE_KEY_FILEName der Datei für das RSA-Schlüssel-Paar, inkl. privaten Schlüsselz.B. "private.key"
KEY_LENGTHLänge des RSA-Schlüsselsmindestens 2048 bit
 
openssl genrsa -out $PRIVATE_KEY_FILE $KEY_LENGTH chmod 400 $PRIVATE_KEY_FILE
 

2. Zertifikatsantrag (CSR) erzeugen

 
CERTIFICATE_SIGNING_REQUESTName der CSR-Datei.z.B. "request.pem"
ORGANISATIONName der Organisationseinheit innerhalb der RWTHz.B. "IT Center"
FORENAMEVorname(n)z.B. "Max Udo"
SURNAMENachname(n)z.B. "Mustermann"
EMAIL_ADDRESS_1primäre E-Mail Adressez.B. "mustermann@itc.rwth-aachen.de"
EMAIL_ADDRESS_2weitere E-Mail Adresse innerhalb der obigen Organisationseinheitz.B. "mustermann@rz.rwth-aachen.de"
 

CSR für eine einzige E-Mail-Adresse erzeugen:

openssl req -new -key $PRIVATE_KEY_FILE -out $CERTIFICATE_SIGNING_REQUEST -batch -subj "/C=DE/ST=Nordrhein-Westfalen/L=Aachen/O=RWTH Aachen/OU=$ORGANISATION/CN=$FORENAME $SURNAME/GN=$FORENAME/SN=$SURNAME/emailAddress=$EMAIL_ADDRESS_1"

 

Eine CSR mit mehreren E-Mail-Adressen erzeugen:

openssl req -new -key $PRIVATE_KEY_FILE -out $CERTIFICATE_SIGNING_REQUEST -batch -subj "/C=DE/ST=Nordrhein-Westfalen/L=Aachen/O=RWTH Aachen/OU=$ORGANISATION/CN=$FORENAME $SURNAME/GN=$FORENAME/SN=$SURNAME" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=email:$EMAIL_ADDRESS_1,email:$EMAIL_ADDRESS_2"))
 

3. Zertifikatsantrag überprüfen

 
openssl req -text -noout -in $CERTIFICATE_SIGNING_REQUEST
 

4. Zertifikatsantrag einreichen (hier ohne Bilder oder detailierte Anleitung)

  1. DFN-PKI Webportal im Browser der Wahl (nicht IE) aufrufen.
  2. "Eigene CSR-Datei (PKCS#10) einreichen" Kasten wählen.
  3. Zertifikatsprofil "User" wählen.
  4. "CSR (PKCS#10) Datei", ist die oben generierte $CERTIFICATE_SIGNING_REQUEST Datei, hochladen.
  5. "Ihre Daten" sind die obigen Daten zum Antragsteller.
  6. Die "Sperr-PIN" wird zum eventuellen wiederufen des Zertifikats benötigt.
  7. Die "Veröffentlichung des Zertifikates" ist optional, dient zur Aufname in den DFN-PKI LDAP Server.
  8. .json-Datei speichern, wird aber nicht benötigt (da keine RSA-Schlüssel vom Browser generiert werden).
  9. .pdf-Datei speichern/ausdrücken, lesen, datieren und handschriftlich unterschreiben.
  10. Antrag (.pdf) zur persönlichen ID-Prüfung an die RWTH-Registrierungsstelle abgeben.

 

5. Erhalt des Zertifikats

Sie erhalten eine digital signierte E-Mail (Absender: dfnpki-mailsender-noreply@dfn-cert.de) mit einem Link zur Abholung des Zertifikats.

Alternativ, erhlält diese E-Mail Ihr Nutzerzertifikat als .pem-Datei. Diese Datei lokal speichern.

CERTIFICATE_FILEName der Datei mit dem erstellten Zertifikatz.B. cert-1234567890.pem
 

Prüfen ob das Zertifikat zum eigenen/privaten Schlüssel passt:

(openssl rsa -noout -modulus -in $PRIVATE_KEY_FILE | openssl md5; openssl x509 -noout -modulus -in $CERTIFICATE_FILE | openssl md5) | uniq
 

Lesen was im Zertifikat steht:

openssl x509 -in $CERTIFICATE_FILE -text -noout
 

6. .p12-Datei erstellen

Die .p12 erhält dann Zertifikat und RSA-Schlüssel Paar und wird zum Import der kryptographischen Daten in verschiedenen Anwendungen benötigt. Die .p12 soll sicher und lange aufbewahrt werden.

EXPORT_FILEName der .p12-Dateiz.B. mustermann_itc_20221007.p12
chain.txtDatei mit der Zertifikatskette der DFN-PKI. Download hier. 
 
wget https://pki.pca.dfn.de/dfn-ca-global-g2/pub/cacert/chain.txt openssl pkcs12 -export -out $EXPORT_FILE -inkey $PRIVATE_KEY_FILE -in $CERTIFICATE_FILE -certfile chain.txt
 

7. .p12-Datei einsetzen

Je nach Anwendungswunsch (E-Mail oder PDF Dokument digital signieren/unterschreiben) kann diese EXPORT_FILE in den Zertifikatsspeicher des jeweiligen Programmes importiert werden, bspw.

  • Thunderbird
  • Outlook
  • Adobe Acrobat
  • JSignPDF

zuletzt geändert am 18.10.2022

Wie hat Ihnen dieser Inhalt geholfen?

Creative Commons Lizenzvertrag
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz