Erstellen Sie Ihre eigene SSL-Zertifizierungsstelle mit dem OS X-Schlüsselbund

Vincent Danen erklärt, wie Sie mit dem mit Mac OS X gelieferten Zertifikatassistenten mithilfe des OS X-Schlüsselbundassistenten eine eigene Zertifizierungsstelle erstellen.

-------------------------------------------------- --------------------------------------

In einem früheren Tipp hatten wir uns mit dem Importieren von SSL Certificate Authority-Zertifikaten in den OS X-Schlüsselbund befasst, um SSL-Zertifikaten für Dienste, die nicht von großen Zertifizierungsstellen wie VeriSign oder Equifax signiert wurden, problemlos zu vertrauen.

Wenn Sie jedoch SSL-basierte Dienste in Ihrer internen Organisation oder in Ihrem LAN haben möchten, kann es schwierig sein, eine eigene Zertifizierungsstelle zu erstellen oder zu verwalten, wenn Sie dies noch nie zuvor getan haben. Es gibt jetzt Tools, die es einfacher machen als früher: Der OS X-Schlüsselbundassistent ist eines dieser Tools.

Starten Sie zunächst die Anwendung OS X Keychain Assistant. Wählen Sie beim Öffnen in der Menüleiste den Schlüsselbund-Assistenten und anschließend den Zertifikat-Assistenten aus. Wählen Sie im nächsten sich öffnenden Untermenü die Option Zertifizierungsstelle erstellen aus. Dadurch wird der Zertifikatassistent geöffnet und Sie werden durch die Schritte zum Erstellen einer eigenen Zertifizierungsstelle geführt, mit der Sie dann SSL-Zertifikate signieren können.

Geben Sie Ihrer Zertifizierungsstelle einen Namen und verwenden Sie die selbstsignierte Stammzertifizierungsstelle als Identitätstyp. Lassen Sie für das Benutzerzertifikat die Standardeinstellung unverändert (S / MIME-E-Mail; dies wird später geändert). Ändern Sie auf der nächsten Seite den Gültigkeitszeitraum (Standard ist ein Jahr) und wählen Sie "CA-Website erstellen". Geben Sie als Nächstes die Informationen ein, die zum Erstellen des Zertifikats verwendet wurden: Stadt, Bundesland, Land usw. In den nächsten Bildschirmen werden die Schlüsselgröße und der Verschlüsselungstyp aufgeführt. Dies bei 2048-Bit-RSA zu belassen, ist in Ordnung. Stellen Sie schließlich im Bereich Key Usage Extension sicher, dass Signatur, Zertifikatsignatur und CRL-Signatur aktiviert sind.

Wenn Sie die Seite Extended Key Usage Extension erreichen, stellen Sie sicher, dass Any ausgewählt ist, wenn diese Zertifizierungsstelle alle Arten von SSL-Zertifikaten signieren soll. Wenn nur bestimmte Arten von SSL-Zertifikaten signiert werden sollen (dh nur SSL-Clients), stellen Sie sicher, dass nur die gewünschten Funktionen aktiviert sind. Auf der nächsten Seite können Sie die von den Benutzern angeforderten Funktionen auswählen. Aktivieren Sie hier auch Beliebig, damit die Zertifizierungsstelle alle Arten von Anforderungen signieren kann. Stellen Sie schließlich auf der nächsten Seite sicher, dass die Einstellungen "Grundlegende Einschränkungen erweitern" und "Dieses Zertifikat als Zertifizierungsstelle verwenden" aktiviert sind.

Es gibt andere Seiten des Prozesses, die nicht erwähnt wurden; Es ist sicher, diese auf ihren Standardeinstellungen zu belassen. Im letzten Bereich werden Sie gefragt, wo Sie den Speicherort des Zertifikats speichern möchten und ob Sie den von dieser Zertifizierungsstelle signierten Zertifikaten auf dem lokalen Computer vertrauen möchten. Wählen Sie einen Schlüsselbund (System, Login oder einen anderen, den Sie speziell für die Verarbeitung der Zertifizierungsstelle und ihrer Anforderungen erstellen) und aktivieren Sie die Vertrauensprüfung.

Nachdem die Zertifizierungsstelle erstellt wurde, können Sie jetzt auch Zertifikate und Signaturanforderungen mit dem Zertifikatassistenten erstellen. Um schnell ein Zertifikat für eine Website zu erstellen, klicken Sie im Pulldown-Menü Schlüsselbundassistent auf Zertifikat erstellen. Verwenden Sie für den Namen den Namen der Website und für den Identitätstyp Blatt. Wählen Sie als Zertifikatstyp SSL-Client aus. Wenn Sie aufgefordert werden, einen CA-Aussteller auszuwählen, wählen Sie die CA aus, die Sie gerade erstellt haben.

Der Schlüssel und das Zertifikat werden in dem zuvor ausgewählten Schlüsselbund gespeichert und mit einem Standardablauf von einem Jahr erstellt. Im Schlüsselbund-Assistenten sehen Sie das Zertifikat und den damit verbundenen privaten RSA-Schlüssel. Klicken Sie mit der rechten Maustaste auf den privaten Schlüssel, und es wird die Option Zertifikat von Zertifizierungsstelle anfordern angezeigt. Wenn Sie diese Option auswählen, öffnen Sie erneut den Zertifikatassistenten und können dann eine Zertifikatanforderung erstellen ( Abbildung A ). Verwenden Sie im geöffneten Fenster das Feld Common Name für die URL des Dienstes (dh, um ein SSL-Zertifikat für foo.test.com zu erstellen, verwenden Sie foo.test.com als CN oder eine E-Mail-Adresse für ein S / MIME E-Mail-Zertifikat usw.) und speichern Sie die Anforderung auf der Festplatte. Abbildung A.

Doppelklicken Sie im Finder auf die generierte .certSigningRequest- Datei. Der Zertifikatassistent wird erneut geöffnet und ermöglicht es Ihnen, das Zertifikat mit der gerade erstellten Zertifizierungsstelle zu signieren. Wählen Sie "Standardeinstellungen überschreiben lassen", um das zu erstellende Zertifikat weiter anzupassen (die Art und Weise, wie der Zertifikatassistent die Anforderung erstellt, verwendet zu viele Standardeinstellungen, um nützlich zu sein, daher möchten Sie dies wahrscheinlich tun).

Viele der Bildschirme, die Sie als Ergebnis durchlaufen, ähneln denen, die beim erstmaligen Einrichten der Zertifizierungsstelle erstellt wurden. Von primärem Interesse ist der Bildschirm Extended Key Usage Extension, auf dem Sie auswählen können, um welchen Zertifikatstyp es sich handelt. Verwenden Sie für eine HTTPS-Site beispielsweise die SSL-Serverauthentifizierung.

Der Zertifikatsassistent stellt viele Fragen, von denen einige möglicherweise unbekannt sind. Die Hilfe hilft Ihnen dabei, die richtigen Entscheidungen zu treffen. In einem einfachen LAN oder internen Netzwerk kann die Verwendung des Zertifikatassistenten die Verwendung und Erstellung von SSL-Zertifikaten vereinfachen. Andere Tools sind verfügbar, aber der Zertifikat-Assistent wird mit jedem Mac geliefert und ist für Uneingeweihte möglicherweise einfacher zu verwenden.

© Copyright 2021 | pepebotifarra.com