diff --git a/CA-DOC-Inhalt.tex b/CA-DOC-Inhalt.tex index cb3017a..4f4b15b 100644 --- a/CA-DOC-Inhalt.tex +++ b/CA-DOC-Inhalt.tex @@ -193,20 +193,24 @@ Dies kann nützlich sein um den privaten Schlüssel ohne zusätzliche Passwortei Sollte der private Schlüssel in die Hände eines Angreifers gelangen, so kann dieser ebenfalls das dazugehörige Zertifikat missbrauchen. Ein Passwortschutz wird ausdrücklich empfohlen sofern keine sonstigen Maßnahmen zum Schutz des privaten Schlüssels vor unbefugtem Zugriff getroffen werden! -Sollte bereits ein vorheriger Zertifikatsantrag mit dem Namen existieren, so kann dieser ohne Risiko überschrieben werden. -Dafür ist die Bestätigung der Sicherheitsabfrage mit \texttt{yes} erforderlich. +Wurde zuvor bereits ein Zertifikatsantrag mit dem selben \texttt{entityName} erzeugt worden sein, so kann dieser inklusive dem dazugehörigen privaten Schlüssel \textbf{überschrieben} werden. +Dafür ist die Bestätigung der Sicherheitsabfrage durch die Eingabe von \texttt{yes} erforderlich. -Die in diesem Schritt erzeugte \texttt{*.csr}-Datei muss nun an die CA übergeben werden, um ein gültiges Zertifikat ausgestellt zu bekommen. +In diesem Schritt wurden nun zwei neue Dateien erzeugt: +\begin{itemize} +\item \texttt{*.key}: Der private Schlüssel. Nur mit ihm kann das später ausgestellte Zertifikat benutzt werden. Diese Datei sollte immer an einem sicheren Ort gespeichert werden, um Missbrauch durch Dritte zu verhindern. Bei Verlust dieser Datei wird das dazugehörige Zertifikat \textbf{unbrauchbar}! Aus diesem Grund wird die Durchführung von Backups empfohlen. +\item \texttt{*.req}: Der Zertifikatsantrag, der zu dem neuen privaten Schlüssel gehört. Zum Ausstellen eines gültigen Zertifikats muss er an die CA übergeben werden. Nachdem ein gültiges Zertifikat aus dem Antrag erzeugt wurde, wird diese Datei nicht länger benötigt. +\end{itemize} \chapter{Ausstellen von Zertifikaten} -Hat ein Benutzer einen Zertifikatsantrag erzeugt, so kann auf dessen Basis nun ein gültiges Zertifikat durch die CA erzeugt werden. -Hierfür muss der Zertifikatsantrag zunächst aus der vom Benutzer eingereichten Datei importiert werden, und unter einem geeigneten Namen abgelegt werden. +Hat ein Benutzer einen Zertifikatsantrag erzeugt, so kann auf Basis dieses Antrags ein gültiges Zertifikat durch die CA ausgestellt werden. +Hierfür muss der Zertifikatsantrag zunächst aus der vom Benutzer eingereichten \texttt{*.req}-Datei importiert werden. Dafür wird der Befehl \texttt{import-req} verwendet: \begin{lstlisting} ./easyrsa import-req /tmp/example.req entityName \end{lstlisting} -Abhängig von dem Typ des beantragten Zertifikats muss der Platzhalter \texttt{entityName} gewählt werden. +Abhängig vom Typ des beantragten Zertifikats muss der Platzhalter \texttt{entityName} durch die CA-Betreiber gewählt werden. Der \texttt{entityName} wird auch zum Widerrufen bereits ausgestellter Zertifikate verwendet. Für die Beantragung eines \textbf{Clientzertifikats} muss der Platzhalter \texttt{entityName} durch den Benutzernamen des Benutzers ersetzt werden, der das Zertifikat beantragt.