Zertifikat und Key erstellen

So erstellen Sie eine *.pem-Datei

Es gibt viele Möglichkeiten, einen Schlüssel und ein Zertifikat zu erstellen. Eine bequeme Option wird durch das Freeware-Tool X Certificate and Key Management bereitgestellt. Zusätzlich zur Erstellung gültiger Zertifikate bietet dieses Tool auch Optionen zum gleichzeitigen Erstellen der erforderlichen Schlüssel. Die erstellten Dateien können anschließend im richtigen Format exportiert werden. Außerdem enthält dieses Tool eine kleine Datenbank, mit der alle Schlüssel und Zertifikate übersichtlich verwaltet werden können:

• Einfache Handhabung
• Schnelle Erstellung und Verwaltung von Schlüsseln und Zertifikaten
• Dieses Tool ist für Windows, Apple und Linux verfügbar.

Download und Installation

Das Tool ist über verschiedene Downloadquellen verfügbar, ein guter und übersichtlicher Download wird direkt vom Entwickler bereitgestellt:

https://hohnstaedt.de/xca/

Bitte beachten Sie, dass sich Download-Links im Laufe der Zeit ändern können und ggf. angepasst werden müssen.
Die Setup-Datei enthält ein Installationsprogramm, das Sie durch den Installationsprozess führt. Dieses Tutorial basiert auf Version 2.4.0! Spätere Versionen können abweichen – beachten Sie, dass Sie Ihre Einstellungen ggf. anpassen müssen.

Erstellen einer Datenbank
Dies ist optional: Wenn Sie vor Ort nur ein einmaliges, selbstsigniertes Zertifikat benötigen, können Sie diesen Schritt überspringen. Möchten Sie jedoch später weitere Zertifikate erstellen, wird empfohlen, kurz eine lokale Datenbank anzulegen, in der Ihre Schlüssel und Zertifikate gespeichert werden:

Starten Sie als nächsten Schritt das Tool und wählen Sie „Open Database“ und dann die Datenbank aus, die Sie zur Erstellung neuer Zertifikate und Schlüssel verwenden möchten. Dies ist hilfreich bei komplexen Schlüssel-/Zertifikat-Setups.

Hinweis: Soll ich ein Datenbank-Passwort setzen?

Das Tool fragt, ob die Datenbank mit einem Passwort gegen unbefugten Zugriff geschützt werden soll. Dies schadet nicht und beeinflusst die mit dem Tool erstellten Schlüssel und Zertifikate nicht!

Beim ersten Start des Programms nach der Installation ist es leer, es sind also keine Beispieldateien vorhanden. Öffnen Sie daher den Tab „Certificates“ und klicken Sie auf „New Certificate“.

Dies öffnet einen Konfigurationsdialog, der Ihnen hilft, ein selbstsigniertes Zertifikat zu erstellen. Dieses Tutorial zeigt Ihnen, wie Sie die Grundeinstellungen für den CS141 verwenden. Falls weitere oder andere Funktionen benötigt werden, wenden Sie sich bitte an Ihren Systemadministrator.

Einstellungen bei Source:

Wählen Sie bei Signing „Create a self signed certificate“.

Prüfen Sie, ob die standardmäßig aktive Einstellung EMPTY TEMPLATE ebenfalls aktiv ist:

Ignorieren Sie alle anderen Einstellungen; die Software funktioniert sofort nach der Installation einwandfrei.

Einstellungen bei Subject:

Im Tab „Subject“ müssen Sie einige Konfigurationen vornehmen, um Ihr Zertifikat zu personalisieren.

Internal Name:

Dieser Eintrag dient nur internen Zwecken. Falls eine Datenbank vorhanden ist, speichert das Tool diesen Namen und zeigt ihn im Hauptfenster an.

Distinguished name

Personalisieren Sie Ihr Zertifikat, indem Sie die Felder ausfüllen. Beachten Sie, dass für ein Host-Zertifikat der „commonName“ der FQDN (Full Qualified Domain Name) sein muss, für den Sie das Zertifikat verwenden wollen.

Schlüssel für Ihr Zertifikat erzeugen oder auswählen

Wählen Sie entweder den Schlüssel aus, den Sie verwenden möchten, oder – falls Sie noch keinen Schlüssel erzeugt haben – klicken Sie auf „Generate a new key“, um einen zu erstellen:

Klicken Sie auf „Create“, um den Schlüssel zu erstellen. Er sollte nun automatisch bei „Private Key“ ausgewählt sein:

Einstellungen bei Extensions:

Für dieses Tutorial müssen Sie nur die Einstellung „Validity“ ändern: Diese Konfiguration legt fest, wie lange Ihr Zertifikat gültig ist und verwendet werden kann. Standardmäßig können Geräte so konfiguriert sein, dass sie ungültige Zertifikate ablehnen. Passen Sie die Zeit an Ihre IT-Sicherheitsrichtlinien an.

Zertifikat erstellen:

Das ist ganz einfach: Wenn die Konfiguration abgeschlossen ist, klicken Sie einfach auf OK, um das Zertifikat zu erstellen. Da keine weiteren optionalen Erweiterungen hinzugefügt wurden, fragt das Tool, ob das Zertifikat so erstellt werden soll.

Da wir wissen, dass dies in diesem Fall korrekt ist, klicken Sie auf „Continue rollout“ und fahren Sie fort:

Das Zertifikat erscheint nun unter „Certificates“ und ist einsatzbereit.

Zertifikat exportieren

Das neu erstellte Zertifikat sollte nun im Tab Certificates erscheinen.
So exportieren Sie das Zertifikat:

1. Wählen Sie das Zertifikat aus der Liste aus.

2. Klicken Sie auf Export.

3. Wählen Sie im Exportdialog PEM + Key (*.pem) als Exportformat.

4. Benennen Sie die exportierte Datei in server.pem um – dies ist der für den CS141 erforderliche Dateiname.

server.pem überprüfen

Öffnen Sie die PEM-Datei mit einem einfachen Texteditor. Sie sollte wie folgt aussehen:

Hinweis: Kann ich ein anderes Tool als dieses verwenden?
Ja, können Sie! Das hier vorgestellte Tool ist lediglich ein Beispiel, um zu zeigen und zu erklären, wie man eine einfache PEM-Datei erstellt. Für weitere Funktionen und Optionen, die Ihre IT-Infrastruktur möglicherweise erfordert, wenden Sie sich bitte an Ihren lokalen Administrator.

Hochladen des Zertifikats auf den CS141

Öffnen Sie die Weboberfläche des CS141:

Gehen Sie dann zu Services > Webserver

Ziehen Sie die Datei server.pem per Drag-and-drop in das entsprechende Upload-Feld und klicken Sie auf Upload.
Nach dem Upload muss der CS141 neu gestartet werden, um das Zertifikat zu importieren und zu aktivieren. Gehen Sie zu System > Tools und klicken Sie auf Reboot. Da die USV ein vollständig separates Gerät ist, startet diese Schaltfläche nur den CS141 neu.

Nach dem Neustart können Sie die Installation überprüfen, indem Sie Folgendes testen:

http://<Ihre IP-Adresse>

https://<Ihre IP-Adresse>

Wenn beide URLs erreichbar sind und wie erwartet funktionieren, können Sie die explizite HTTPS-Verschlüsselung aktivieren, indem Sie Force HTTPS auswählen.