Der Prozess der Beantragung und Ausstellung von PKI-Zertifikaten (Public Key Infrastructure)
Grundsätzlich ist der Prozess der Beantragung und Ausstellung von PKI-Zertifikaten nicht von einer bestimmten Herstellertechnologie abhängig. Er folgt diesem Muster:
- Es wird ein öffentlicher und privater Schlüssel erzeugt, um die Identität zu repräsentieren.
- Ein "Certificate Signing Request" (CSR) wird unter Verwendung des öffentlichen Schlüssels und einiger Informationen über die Identität generiert.
- Die Zertifizierungsstelle verwendet Informationen aus dem CSR, Ihren eigenen öffentlichen Schlüssel, Autorisierungsinformationen und eine von ihrem privaten Schlüssel erzeugte "Signatur", um ein Zertifikat auszustellen.
Die Einzelheiten dieser Schritte variieren zwischen den Implementierungen. Ich möchte, dass Sie sich auf den Teil der Ausgabe konzentrieren. Sie müssen keine tiefgreifenden Details kennen, es sei denn, Sie haben vor, ein Sicherheitsexperte zu werden. Sie müssen jedoch verstehen, dass die Ausstellung von Zertifikaten einem Prozess folgt. Unabhängig vom Grad definiert und befolgt jede Behörde einen Prozess, der bestimmt, ob sie ein Zertifikat ausstellen wird oder nicht.
CSR-Erstellung mit MMC
MMC Einschreibevorgang
Die MMC-Registrierung bietet ein hohes Maß an Flexibilität. Sie können Zertifikate für sich selbst, Ihren Computer oder eine ganz andere Entität anfordern. Es funktioniert auf jeder unterstützten Version von Windows und Windows Server, solange diese eine grafische Benutzeroberfläche haben.
Zunächst müssen Sie auf die erforderliche Konsole zugreifen.
1.) Öffnen Sie die Microsoft Management Console (MMC). Dazu geben Sie in Ihrer Windows-Suche MMC ein und öffnen das Programm.
2.) Klicken Sie auf Datei und anschließend auf Snap-In hinzufügen/entfernen...
3.) Wählen Sie nun Zertifikate aus und bestätigen mit Hinzufügen.
4.) Wählen Sie den zu zertifizierenden Objekttyp. In diesem Zusammenhang bedeutet "Mein Benutzerkonto" das Konto, unter dem die MMC derzeit läuft. Wenn Sie Mein Benutzerkonto wählen, wird der Assistent hier beendet. Wir wählen hier Computerkonto.
Wenn Sie Dienstkonto oder Computerkonto gewählt haben, wechselt der Assistent zur Computerauswahl. Wenn Sie einen anderen Computer als den lokalen wählen, werden die Zertifikatspeicher dieses Computers angezeigt und die Änderungen werden in diesen Speichern gespeichert. Wenn Sie Computerkonto wählen, wird der Assistent hier beendet.
Wir wählen im nächsten Schritt Lokalen Computer. Klicken Sie anschließend auf Fertigstellen und dann auf OK.
Wenn Sie Dienstkonto ausgewählt haben, erhalten Sie nun eine Liste mit Servicekonten, aus der Sie auswählen können.
Wenn Sie möchten, können Sie die obigen Schritte wiederholen, um eine Konsole mit mehreren Zielen zu verbinden:
5.) Doppelklicken Sie Zertifikate (Lokaler Computer) um die Ansicht zu erweitern. Rechtsklicken Sie den Ordner Eigene Zertifikate, und selektieren Sie Alle Aufgaben > Erweiterte Vorgänge > Benutzerdefinierte Anforderung erstellen.
6.) Jetzt startet der Wizard. Klicken Sie auf Weiter und fahren Sie im nächsten Schritt fort.
7.) Selektieren Sie unter Vorlage die Option (Keine Vorlage) Legacyschlüssel und das Format PKCS #10. Klicken Sie auf Weiter.
8.) Erweitern Sie das Details Feld und klicken Sie auf Eigenschaften.
Geben Sie dem Zertifikat einen Namen und eine Beschreibung.
9.) Selektieren Sie im zweiten Reiter Antragsteller unter Typ die Option Common Name. Unter Wert können Sie Ihre Domain angeben, und anschließend auf Hinzufügen klicken.
Bitte wiederholen Sie den Vorgang im Reiter Alternativer Name. Unter Wert können Sie Ihre Domain angeben und anschließend auf Hinzufügen klicken.
10.) Unter dem Reiter Privater Schlüssel können Sie das Feld Kryptografiedienstanbieter erweitern. Nur Microsoft RSA SChannel Cryptographic Provider (Verschlüsselung) sollte hier selektiert sein.
11.) Erweitern Sie die Schlüsseloptionen. Die Schlüssellänge muss minimal 2048 Bit betragen und der Privatschlüssel sollte exportiert werden können.
12.) Unter Schlüsseltyp muss die Option Austausch selektiert werden.
Klicken Sie auf Übernehmen, OK und Weiter.
13.) Selektieren Sie den Speicherort für Ihre Zertifikatsanfrage. Selektieren Sie die Option Base 64 und klicken Sie auf Fertigstellen. Ihre Zertifikatsanfrage wird nun generiert.
Kommentare
0 Kommentare
Zu diesem Beitrag können keine Kommentare hinterlassen werden.