JPT
/
masterthesis
0
0
Fork 0
Code Issues Pull Requests Activity

Improve CA documentation

This commit is contained in:
Jan Philipp Timme 2018-09-13 14:02:00 +02:00
parent efc981c51f
commit f7605ae672
1 changed files with 10 additions and 6 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

16
CA-DOC-Inhalt.tex
View File

@ -193,20 +193,24 @@ Dies kann nützlich sein um den privaten Schlüssel ohne zusätzliche Passwortei
Sollte der private Schlüssel in die Hände eines Angreifers gelangen, so kann dieser ebenfalls das dazugehörige Zertifikat missbrauchen. Sollte der private Schlüssel in die Hände eines Angreifers gelangen, so kann dieser ebenfalls das dazugehörige Zertifikat missbrauchen.
Ein Passwortschutz wird ausdrücklich empfohlen sofern keine sonstigen Maßnahmen zum Schutz des privaten Schlüssels vor unbefugtem Zugriff getroffen werden! Ein Passwortschutz wird ausdrücklich empfohlen sofern keine sonstigen Maßnahmen zum Schutz des privaten Schlüssels vor unbefugtem Zugriff getroffen werden!
Sollte bereits ein vorheriger Zertifikatsantrag mit dem Namen existieren, so kann dieser ohne Risiko überschrieben werden. Wurde zuvor bereits ein Zertifikatsantrag mit dem selben \texttt{entityName} erzeugt worden sein, so kann dieser inklusive dem dazugehörigen privaten Schlüssel \textbf{überschrieben} werden.
Dafür ist die Bestätigung der Sicherheitsabfrage mit \texttt{yes} erforderlich. Dafür ist die Bestätigung der Sicherheitsabfrage durch die Eingabe von \texttt{yes} erforderlich.
Die in diesem Schritt erzeugte \texttt{*.csr}-Datei muss nun an die CA übergeben werden, um ein gültiges Zertifikat ausgestellt zu bekommen. In diesem Schritt wurden nun zwei neue Dateien erzeugt:
\begin{itemize}
\item \texttt{*.key}: Der private Schlüssel. Nur mit ihm kann das später ausgestellte Zertifikat benutzt werden. Diese Datei sollte immer an einem sicheren Ort gespeichert werden, um Missbrauch durch Dritte zu verhindern. Bei Verlust dieser Datei wird das dazugehörige Zertifikat \textbf{unbrauchbar}! Aus diesem Grund wird die Durchführung von Backups empfohlen.
\item \texttt{*.req}: Der Zertifikatsantrag, der zu dem neuen privaten Schlüssel gehört. Zum Ausstellen eines gültigen Zertifikats muss er an die CA übergeben werden. Nachdem ein gültiges Zertifikat aus dem Antrag erzeugt wurde, wird diese Datei nicht länger benötigt.
\end{itemize}
\chapter{Ausstellen von Zertifikaten} \chapter{Ausstellen von Zertifikaten}
Hat ein Benutzer einen Zertifikatsantrag erzeugt, so kann auf dessen Basis nun ein gültiges Zertifikat durch die CA erzeugt werden. Hat ein Benutzer einen Zertifikatsantrag erzeugt, so kann auf Basis dieses Antrags ein gültiges Zertifikat durch die CA ausgestellt werden.
Hierfür muss der Zertifikatsantrag zunächst aus der vom Benutzer eingereichten Datei importiert werden, und unter einem geeigneten Namen abgelegt werden. Hierfür muss der Zertifikatsantrag zunächst aus der vom Benutzer eingereichten \texttt{*.req}-Datei importiert werden.
Dafür wird der Befehl \texttt{import-req} verwendet: Dafür wird der Befehl \texttt{import-req} verwendet:
\begin{lstlisting} \begin{lstlisting}
./easyrsa import-req /tmp/example.req entityName ./easyrsa import-req /tmp/example.req entityName
\end{lstlisting} \end{lstlisting}
Abhängig von dem Typ des beantragten Zertifikats muss der Platzhalter \texttt{entityName} gewählt werden. Abhängig vom Typ des beantragten Zertifikats muss der Platzhalter \texttt{entityName} durch die CA-Betreiber gewählt werden.
Der \texttt{entityName} wird auch zum Widerrufen bereits ausgestellter Zertifikate verwendet. Der \texttt{entityName} wird auch zum Widerrufen bereits ausgestellter Zertifikate verwendet.
Für die Beantragung eines \textbf{Clientzertifikats} muss der Platzhalter \texttt{entityName} durch den Benutzernamen des Benutzers ersetzt werden, der das Zertifikat beantragt. Für die Beantragung eines \textbf{Clientzertifikats} muss der Platzhalter \texttt{entityName} durch den Benutzernamen des Benutzers ersetzt werden, der das Zertifikat beantragt.