KIT-CA - Steinbuch Centre for Computing

Schlüsselerzeugung und Zertifikatsbeantragung mit Java-Werkzeugen für den Java Keystore

Antragsdatei für einen Java Keystore auf der Kommandozeile erstellen

Zunächst muss ein Schlüsselpaar aus privatem und öffentlichem Schlüssel generiert werden. Dies kann mit der folgenden Kommandozeile erfolgen, wobei die Platzhalter (fett geschrieben) ggf. sinnvoll ersetzt werden müssen:


keytool -genkey \
 -alias Schluesselname \
 -dname "C=DE,ST=Baden-Wuerttemberg,L=Karlsruhe,O=Karlsruhe Institute of Technology,CN=FQHN" \
 -keyalg RSA \
 -keysize 4096 \
 -keystore Keystoredatei

Aus diesem Schlüsselpaar kann dann der Zertifikatantrag mit der folgenden Kommandozeile generiert werden:


keytool -certreq \
-alias Schluesselname \
-file Antragsdatei \
-keystore Keystoredatei

Es kann hilfreich sein, die CA-Zertifikate der DFN-PCA und der KIT-CA in den Java-Keystore aufzunehmen. Dies erfolgt mit der folgenden Kommandozeile, wobei die Platzhalter durch die entsprechenden Dateinamen der Zertifikate zu ersetzen sind:

wget https://pki.pca.dfn.de/kit-ca/pub/cacert/intermediatecacert.crt
wget https://pki.pca.dfn.de/kit-ca/pub/cacert/cacert.crt
keytool -import -trustcacerts \
 -alias dfnca \
 -file intermediatecacert.crt \
 -keystore Keystoredatei
keytool -import -trustcacerts \
 -alias kitca \
 -file cacert.crt \
 -keystore Keystoredatei

Zertifikatsbeantragung im Webinterface

Öffnen Sie die Webseite der KIT-CA und wählen Sie den Reiter Serverzertifikat:

Webseite KIT-CA / Zertifikate / Serverzertifikat

Füllen Sie alle markierten Felder entsprechende aus. Als PKCS#10-Zertifikatantrag (PEM-formatierte Datei) wählen Sie die soeben erstelle Antragsdatei.

Wählen Sie das für Ihre Anwendung passende Zertifikatsprofil aus. Eine genaue Beschreibung der verschiedenen Profile finden sie hier. Für die meisten Anwendungen ist Webserver ein guter Startpunkt.

Diese Einträge werden nicht in das Zertifikat übernommen. Bei der Beantragung eines Serverzertifikats müssen Sie hier Ihren Namen und Ihre E-Mail-Adresse angeben, damit die Zertifizierungsstelle das Serverzertifikat einem Ansprechpartner zuordnen kann. Als E-Mail-Adresse sollte eine Adresse verwendet werden, bei der sichergestellt ist, dass jederzeit während der Gültigkeit des Zertifikats ein kompetenter Ansprechpartner erreicht wird. Hierfür empfiehlt es sich beispielsweise, für Serverzertifikate nicht die direkte E-Mail-Adresse eines Administrators anzugeben, sondern vielmehr eine entsprechende Mailingliste oder einen entsprechenden Mailverteiler. Auf diese Weise kann elegant sichergestellt werden, dass auch bei Abwesenheit des beantragenden Administrators ein Vertreter erreichbar ist. Achtung! Die PIN benötigen Sie, wenn Sie das Zertifikat sperren wollen. Sie sollten sich deshalb die PIN unbedingt notieren. Wenn Sie der Zertifizierungsrichtlinie nicht zustimmen, kann Ihr Antrag nicht bearbeitet werden. Wenn Sie einer Veröffentlichung nicht zustimmen, steht Ihr Zertifikat nicht im öffentlichen Verzeichnisdienst zur Verfügung.

Serverzertifikat: Dateneingabe

Wenn Sie auf Weiter klicken, werden Ihnen Ihre Angaben noch einmal angezeigt. Sie können sie nun ändern oder die Richtigkeit bestätigen.

Serverzertifikat: Daten ueberpruefen

Wenn Sie Ihre Angaben bestätigen, werden Sie aufgefordert, sich Ihren Zertifikatantrag anzeigen zu lassen und diesen auszudrucken. Wichtig ist, dass die RA-Mitarbeiter erkennen könne, dass Sie berechtigt sind, für den jeweiligen Rechnernamen ein Zertifikat zu beantragen; wenn Sie beispielsweise ein Zertifikat für einen Institutswebserver beantragen, wäre etwa der entsprechende Institutsstempel hilfreich. Außerdem müssen Sie ein von der KIT-CA ausgestelltes und gültiges Nutzerzertifikat besitzen, um ein Serverzertifikat zu beantragen.

Serverzertifikat: Papierformular

Bitte beachten Sie, dass Zertifikatanträge, für die nicht innerhalb von drei Monaten das zugehörige Formular ausgefüllt bei uns eingegangen ist, verworfen werden! Sie müssen also das zugehörige Formular innerhalb von drei Monaten bei einer Registrierungsstelle der KIT-CA einreichen! Bitte beachten Sie weiter, dass es nicht ausreicht, Zertifikatanträge per Fax zu übermitteln. Es werden die Originalanträge benötigt!

Schicken Sie das ausgedruckte Formular an die KIT-CA (KIT-CA, Steinbuch Centre for Computing/Campus Süd) oder geben Sie es persönlich bei einer Registrierungsstelle ab.

Zusammenführen von privatem Schlüssel und Zertifikat

Bei Verwendung des Java Keystore muss abschließend das von der KIT-CA generierte Zertifikat in den Keystore importiert werden:


keytool -import -trustcacerts \
 -alias Schluesselname \
 -file Zertifikatdatei \
 -keystore Keystoredatei