KIT-CA - Steinbuch Centre for Computing

Schlüsselerzeugung und Zertifikatsbeantragung mit Windows-Bordmitteln

Antragsdatei mit Windows Bordmitteln auf der Kommandozeile erstellen

Niemand bei der KIT-CA benutzt diesen Weg, wir haben also nur sehr begrenzt Erfahrung damit. Bei Problemen hilft potentiell ein Blick in die offizielle Dokumentation (certreq.exe, certutil.exe).

Requests können unter Windows auch auf der Kommandozeile erstellt werden. Hierfür muss zunächst eine Datei Eingabedatei mit folgenden Inhalt erstellt werden (die Platzhalter Eingabedatei und Antragsdatei sind hierbei durch beliebige Dateinamen zu ersetzen):


[RequestAttributes]
SAN = "email=<E-Mail-Adresse>"
[NewRequest]
Exportable = TRUE
KeyLength = 4096
HashAlgorithm = sha256
MachineKeySet = TRUE
Subject = "C=DE,ST=Baden-Wuerttemberg,L=Karlsruhe,O=Karlsruhe Institute of Technology,CN=<FQHN>"
RequestType = PKCS10
UserProtected = FALSE

Angaben in spitzen Klammern sind entsprechend zu ersetzen.

Um Subject Alternative Names zu setzen fügen Sie eine neue Sektion [Extensions] in Eingabedatei mit den gewünschten Hostnamen (zwischen continue = “DNS= und &”) ein:


[Extensions]
2.5.29.17 = "{text}"
_continue_ = "DNS=weiterer-hostname.ifmb.kit.edu&"
_continue_ = "DNS=noch-ein-hostname.ifmb.kit.edu&"
_continue_ = "DNS=super-alias.ifmb.kit.edu&"

Der eigentliche Request kann danach mit dem folgenden Aufruf erstellt werden:


certreq -new Eingabedatei Antragdatei

Hierbei wird die Datei Antragdatei mit dem neu generierten Request überschrieben und muss über das Web-Interface am die KIT-CA geschickt werden. Details Ihres Requests können Sie mit folgendem Befehl ansehen:


certutil -dump Antragdatei

Zertifikatsbeantragung im Webinterface

Öffnen Sie die Webseite der KIT-CA und wählen Sie den Reiter Serverzertifikat:

Webseite KIT-CA / Zertifikate / Serverzertifikat

Füllen Sie alle markierten Felder entsprechende aus. Als PKCS#10-Zertifikatantrag (PEM-formatierte Datei) wählen Sie die soeben erstelle Antragsdatei.

Wählen Sie das für Ihre Anwendung passende Zertifikatsprofil aus. Eine genaue Beschreibung der verschiedenen Profile finden sie hier. Für die meisten Anwendungen ist Webserver ein guter Startpunkt.

Diese Einträge werden nicht in das Zertifikat übernommen. Bei der Beantragung eines Serverzertifikats müssen Sie hier Ihren Namen und Ihre E-Mail-Adresse angeben, damit die Zertifizierungsstelle das Serverzertifikat einem Ansprechpartner zuordnen kann. Als E-Mail-Adresse sollte eine Adresse verwendet werden, bei der sichergestellt ist, dass jederzeit während der Gültigkeit des Zertifikats ein kompetenter Ansprechpartner erreicht wird. Hierfür empfiehlt es sich beispielsweise, für Serverzertifikate nicht die direkte E-Mail-Adresse eines Administrators anzugeben, sondern vielmehr eine entsprechende Mailingliste oder einen entsprechenden Mailverteiler. Auf diese Weise kann elegant sichergestellt werden, dass auch bei Abwesenheit des beantragenden Administrators ein Vertreter erreichbar ist. Achtung! Die PIN benötigen Sie, wenn Sie das Zertifikat sperren wollen. Sie sollten sich deshalb die PIN unbedingt notieren. Wenn Sie der Zertifizierungsrichtlinie nicht zustimmen, kann Ihr Antrag nicht bearbeitet werden. Wenn Sie einer Veröffentlichung nicht zustimmen, steht Ihr Zertifikat nicht im öffentlichen Verzeichnisdienst zur Verfügung.

Serverzertifikat: Dateneingabe

Wenn Sie auf Weiter klicken, werden Ihnen Ihre Angaben noch einmal angezeigt. Sie können sie nun ändern oder die Richtigkeit bestätigen.

Serverzertifikat: Daten ueberpruefen

Wenn Sie Ihre Angaben bestätigen, werden Sie aufgefordert, sich Ihren Zertifikatantrag anzeigen zu lassen und diesen auszudrucken. Wichtig ist, dass die RA-Mitarbeiter erkennen könne, dass Sie berechtigt sind, für den jeweiligen Rechnernamen ein Zertifikat zu beantragen; wenn Sie beispielsweise ein Zertifikat für einen Institutswebserver beantragen, wäre etwa der entsprechende Institutsstempel hilfreich. Außerdem müssen Sie ein von der KIT-CA ausgestelltes und gültiges Nutzerzertifikat besitzen, um ein Serverzertifikat zu beantragen.

Serverzertifikat: Papierformular

Bitte beachten Sie, dass Zertifikatanträge, für die nicht innerhalb von drei Monaten das zugehörige Formular ausgefüllt bei uns eingegangen ist, verworfen werden! Sie müssen also das zugehörige Formular innerhalb von drei Monaten bei einer Registrierungsstelle der KIT-CA einreichen! Bitte beachten Sie weiter, dass es nicht ausreicht, Zertifikatanträge per Fax zu übermitteln. Es werden die Originalanträge benötigt!

Schicken Sie das ausgedruckte Formular an die KIT-CA (KIT-CA, Steinbuch Centre for Computing/Campus Süd) oder geben Sie es persönlich bei einer Registrierungsstelle ab.

Zusammenführen von privatem Schlüssel und Zertifikat

Geben Sie die folgende Kommandozeile ein:


certreq -accept Zertifikatdatei

Hierbei ist Zertifikatdatei die Datei mit dem von der KIT-CA ausgestellten Zertifikat. Wird das Zertifikat über die Weboberfläche heruntergeladen, so ist zu beachten, dass es im .pem-Format benötigt wird. Details des heruntergeladenen Zertifikats können Sie mit folgendem Befehl ansehen:


certutil -dump Antragdatei

Request wiederfinden/exportieren

certreq legt Schlüssel und Requests im Zertifikatsspeicher des Computers (und nicht des Benutzers) ab. Falls Sie Ihren Request nicht wiederfinden oder den geheimen Schlüssel aus anderen Gründen gerne mittendrin exportieren wollen, gehen Sie folgendermaßen vor.

Starten Sie mmc als Administrator.

mmc starten

Fügen Sie ein neues Snap-in ein (Ctrl+M).

neues Snap-in einfuegen

Wählen Sie »Certificates«.

Certificates-Snap-in auswaehlen

Wählen Sie im nächsten Schritt »Computer Account«.

Computer Account auswaehlen

Wählen Sie »Local Computer[…]«.

Local Computer auswaehlen

Hinzufügen mit »Ok« beenden.

Mit OK bestaetigen

Die Schlüssel für alle Requests finden Sie unter »Certificate Enrollment Requests/Certificates«.

Existenz der Zertifikate pruefen