Schritt 2: Zertifikate signieren

Online bearbeiten

Nachdem Sie eine Zertifikatssignieranforderung (Certificate Signing Request, CSR) erstellt haben, muss sie von einer Zertifizierungsstelle signiert werden, damit sie in ein Zertifikat umgewandelt werden kann, das in License Metric Toolhochgeladen werden kann. Mit der Verschlüsselungsbibliothek (Cryptographic Library) von OpenSSL können Sie eine private Zertifizierungsstelle erstellen und Ihre Anforderung signieren.

Vorbereitungen

Die Verwendung einer privaten Zertifizierungsstelle für die Signierung Ihrer Anforderung ist nicht die einzige Möglichkeit. Sie können die Anforderung auch an international anerkannte Zertifizierungsstellen wie Entrust oder VeriSignsenden oder die Zertifizierungsstelle Ihrer Organisation verwenden. Da die Zertifikate dieser Zertifizierungsstellen häufig standardmäßig als vertrauenswürdig gelten, werden im Browser keine Warnungen angezeigt. Wenn Sie eine private Zertifizierungsstelle verwenden, werden hingegen möglicherweise Warnungen angezeigt. In dieser Prozedur wird eine beispielhafte Methode zum Erstellen eines signierten Zertifikats beschrieben. Es veranschaulicht die Schritte, die zum Signieren von Zertifikaten erforderlich sind, die die OpenSSL -Verschlüsselungsbibliothek verwenden. Passen Sie das Verfahren an die Besonderheiten Ihres Unternehmens an.

Vorgehensweise

  1. Erstellen Sie eine private Zertifizierungsstelle (CA) und ein Zertifikat dafür:
    1. Erstellen Sie eine private Zertifizierungsstelle. Dieser Schritt erstellt einen privaten Schlüssel (.key) und eine Anforderung (.csr), die denen ähneln, die Sie im Abschnitt Private Schlüssel und Zertifikate erstellenerstellt haben.
      openssl req -new -newkey rsa:key_strength -nodes 
-out CA_csr_name.csr -keyout CA_key_name.key -sha256
      Beispiel:
      openssl req -new -newkey rsa:2048 -nodes -out CA_CSR.csr -keyout CA_private_key.key -sha256
      Wichtig: Das Zertifikat, das mithilfe der Zertifikatssignieranforderung (Certificate Signing Request, CSR) generiert wird, enthält möglicherweise nicht das Feld SubjectAltName . Einige Browser können eine Verbindung, die ein solches Zertifikat schützt, weiterhin als nicht vertrauenswürdig behandeln. Weitere Informationen finden Sie in der OpenSSL -Dokumentation.
      Dabei gilt Folgendes:
      Schlüsselstärke
      Die in Bits gemessene Schlüsselstärke. Der Maximalwert, den Sie für License Metric Tool verwenden können, ist:
      • Für Anwendungsaktualisierung 9.2.10 und höher: 16384 Bit
      • Für Anwendungsaktualisierung 9.2.9 und niedriger: 2048 Bit.
      Name_der_CA-Zertifikatssignieranforderung
      Der Dateiname für die Zertifikatssignieranforderung (Certificate Signing Request, CSR). Die Zertifizierungsstelle (Certificate Authority, CA) verlangt eine separate Anforderung.
      Name_des_CA-Schlüssels
      Der Dateiname für den privaten Schlüssel. Die Zertifizierungsstelle (Certificate Authority, CA) verlangt einen separaten privaten Schlüssel.
    2. Erstellen Sie ein Zertifikat für Ihre private Zertifizierungsstelle. In diesem Schritt wird ein Zertifikat (.arm) erstellt, mit dem Sie Ihre CSR signieren können.
      openssl x509 -signkey path_to_CA_key.key -days 
number_of_days -req -in path_to_CA_csr.csr 
-out CA_certificate_name.arm -sha256
      Beispiel:
      openssl x509 -signkey CA_private_key.key -days 90 -req -in CA_CSR.csr -out CA_certificate.arm -sha256
      Dabei gilt Folgendes:
      Schlüsselstärke
      Die in Bits gemessene Schlüsselstärke. Der Maximalwert, den Sie für License Metric Tool verwenden können, ist:
      • Für Anwendungsaktualisierung 9.2.10 und höher: 16384 Bit
      • Für Anwendungsaktualisierung 9.2.9 und niedriger: 2048 Bit.
      Pfad_zur_CA-Zertifikatssignieranforderung
      Der Dateiname für die Zertifikatssignieranforderung (Certificate Signing Request, CSR), die Sie für die Zertifizierungsstelle (Certificate Authority, CA) erstellt haben.
      Pfad_zum_CA-Schlüssel
      Der Dateiname für den privaten Schlüssel, den Sie für die Zertifizierungsstelle (Certificate Authority, CA) erstellt haben.
      Anzahl_Tage
      Die Anzahl der Tage, die das neue Zertifikat gültig sein soll.
      Name_des_CA-Zertifikats
      Der Dateiname für das Zertifikat Ihrer Zertifizierungsstelle. Mit diesem Zertifikat wird Ihre Zertifikatssignieranforderung signiert.
  2. Verwenden Sie das CA-Zertifikat, um die Zertifikatssignieranforderung zu signieren, die Sie in Private Schlüssel und Zertifikate erstellenerstellt haben.
    openssl x509 -req -days number_of_days -in path_to_csr.csr -CA path_to_CA_certificate.arm 
-CAkey path_to_CA_key.key -out new_certificate.arm -set_serial 01 -sha256
    Beispiel:
    openssl x509 -req -days 90 -in CSR.csr -CA CA_certificate.arm -CAkey CA_private_key.key -out certificate.arm -set_serial 01 -sha256
    Dabei gilt Folgendes:
    Anzahl_Tage
    Die Anzahl der Tage, die das neue Zertifikat gültig sein soll.
    Pfad_zur_Zertifikatssignieranforderung
    Der Pfad zu der Zertifikatssignieranforderung (Certificate Signing Request, CSR), die Sie signieren möchten.
    Pfad_zum_CA-Zertifikat
    Der Pfad zu dem Zertifikat, das Sie für die Zertifizierungsstelle (Certificate Authority, CA) erstellt haben.
    Pfad_zum_CA-Schlüssel
    Der Pfad zu dem privaten Schlüssel, den Sie für die Zertifizierungsstelle (Certificate Authority, CA) erstellt haben.
    neues_Zertifikat
    Der Dateiname für das neue Zertifikat, das auf Basis Ihrer Zertifikatssignieranforderung (Certificate Signing Request, CSR) erstellt wird. Sie laden dieses Zertifikat zusammen mit Ihrem privaten Schlüssel in License Metric Toolhoch.

Ergebnisse

Sie haben Ihre Zertifikatssignieranforderung signiert und ein neues Zertifikat erhalten.

Die nächsten Schritte

Aktivieren Sie verschlüsselte Kommunikation in License Metric Tool und laden Sie Ihren privaten Schlüssel und das Zertifikat hoch. Diese Dateien ersetzen das selbst signierte Zertifikat, das bereits in License Metric Toolverfügbar ist, und stellen so eine sichere Kommunikation sicher.