mit OpenSSL/LibreSSL
1. RSA-Schlüssel generieren
| PRIVATE_KEY_FILE | Name der Datei für das RSA-Schlüssel-Paar, inkl. privaten Schlüssel | z.B. "private.key" |
| KEY_LENGTH | Länge des RSA-Schlüssels | mindestens 2048 bit |
| openssl genrsa -out $PRIVATE_KEY_FILE $KEY_LENGTH chmod 400 $PRIVATE_KEY_FILE |
2. Zertifikatsantrag (CSR) erzeugen
| CERTIFICATE_SIGNING_REQUEST | Name der CSR-Datei. | z.B. "request.pem" |
| ORGANISATION | Name der Organisationseinheit innerhalb der RWTH | z.B. "IT Center" |
| FORENAME | Vorname(n) | z.B. "Max Udo" |
| SURNAME | Nachname(n) | z.B. "Mustermann" |
| EMAIL_ADDRESS_1 | primäre E-Mail Adresse | z.B. "mustermann@itc.rwth-aachen.de" |
| EMAIL_ADDRESS_2 | weitere E-Mail Adresse innerhalb der obigen Organisationseinheit | z.B. "mustermann@rz.rwth-aachen.de" |
CSR für eine einzige E-Mail-Adresse erzeugen:
openssl req -new -key $PRIVATE_KEY_FILE -out $CERTIFICATE_SIGNING_REQUEST -batch -subj "/C=DE/ST=Nordrhein-Westfalen/L=Aachen/O=RWTH Aachen/OU=$ORGANISATION/CN=$FORENAME $SURNAME/GN=$FORENAME/SN=$SURNAME/emailAddress=$EMAIL_ADDRESS_1" |
Eine CSR mit mehreren E-Mail-Adressen erzeugen:
| openssl req -new -key $PRIVATE_KEY_FILE -out $CERTIFICATE_SIGNING_REQUEST -batch -subj "/C=DE/ST=Nordrhein-Westfalen/L=Aachen/O=RWTH Aachen/OU=$ORGANISATION/CN=$FORENAME $SURNAME/GN=$FORENAME/SN=$SURNAME" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=email:$EMAIL_ADDRESS_1,email:$EMAIL_ADDRESS_2")) |
3. Zertifikatsantrag überprüfen
| openssl req -text -noout -in $CERTIFICATE_SIGNING_REQUEST |
4. Zertifikatsantrag einreichen (hier ohne Bilder oder detailierte Anleitung)
- DFN-PKI Webportal im Browser der Wahl (nicht IE) aufrufen.
- "Eigene CSR-Datei (PKCS#10) einreichen" Kasten wählen.
- Zertifikatsprofil "User" wählen.
- "CSR (PKCS#10) Datei", ist die oben generierte $CERTIFICATE_SIGNING_REQUEST Datei, hochladen.
- "Ihre Daten" sind die obigen Daten zum Antragsteller.
- Die "Sperr-PIN" wird zum eventuellen wiederufen des Zertifikats benötigt.
- Die "Veröffentlichung des Zertifikates" ist optional, dient zur Aufname in den DFN-PKI LDAP Server.
- .json-Datei speichern, wird aber nicht benötigt (da keine RSA-Schlüssel vom Browser generiert werden).
- .pdf-Datei speichern/ausdrücken, lesen, datieren und handschriftlich unterschreiben.
- Antrag (.pdf) zur persönlichen ID-Prüfung an die RWTH-Registrierungsstelle abgeben.
5. Erhalt des Zertifikats
Sie erhalten eine digital signierte E-Mail (Absender: dfnpki-mailsender-noreply@dfn-cert.de) mit einem Link zur Abholung des Zertifikats.
Alternativ, erhlält diese E-Mail Ihr Nutzerzertifikat als .pem-Datei. Diese Datei lokal speichern.
| CERTIFICATE_FILE | Name der Datei mit dem erstellten Zertifikat | z.B. cert-1234567890.pem |
Prüfen ob das Zertifikat zum eigenen/privaten Schlüssel passt:
| (openssl rsa -noout -modulus -in $PRIVATE_KEY_FILE | openssl md5; openssl x509 -noout -modulus -in $CERTIFICATE_FILE | openssl md5) | uniq |
Lesen was im Zertifikat steht:
| openssl x509 -in $CERTIFICATE_FILE -text -noout |
6. .p12-Datei erstellen
Die .p12 erhält dann Zertifikat und RSA-Schlüssel Paar und wird zum Import der kryptographischen Daten in verschiedenen Anwendungen benötigt. Die .p12 soll sicher und lange aufbewahrt werden.
| EXPORT_FILE | Name der .p12-Datei | z.B. mustermann_itc_20221007.p12 |
| chain.txt | Datei mit der Zertifikatskette der DFN-PKI. Download hier. |
| wget https://pki.pca.dfn.de/dfn-ca-global-g2/pub/cacert/chain.txt openssl pkcs12 -export -out $EXPORT_FILE -inkey $PRIVATE_KEY_FILE -in $CERTIFICATE_FILE -certfile chain.txt |
7. .p12-Datei einsetzen
Je nach Anwendungswunsch (E-Mail oder PDF Dokument digital signieren/unterschreiben) kann diese EXPORT_FILE in den Zertifikatsspeicher des jeweiligen Programmes importiert werden, bspw.
- Thunderbird
- Outlook
- Adobe Acrobat
- JSignPDF
