Digitales Identitätszertifikat (Zertifizierungsantrag) beantragen

Verwendete Begriffe:

  • Privater Schlüssel: Ein geheimer, nur dem Eigentümer bekannter Schlüssel, der zusammen mit einem Algorithmus der Ver- und Entschlüsselung von Daten dient

  • Schlüsselpaar: der private Schlüssel und die zugehörige Zertifikatskette

  • Eindeutiger Name: Die kenntlich machende Information in einem Zertifikat. Ein Zertifikat enthält den eindeutigen Namen zur Identifikation des Eigentümers/Requesters des Zertifikats und den eindeutigen Namen zur Identifikation des Zertifikatsausstellers.

  • X.509-Zertifikat: ein digitales Zertifikat gemäß dem weithin akzeptierten internationalen X.509-Standard für PKI (Public Key Infrastructure; Infrastruktur für öffentliche Schlüssel), das dazu dient, die Eigentümerschaft des Benutzers am öffentlichen Schlüssel zu bestätigen

Vor dem Erstellen des Zertifizierungsantrags generiert der Antragsteller zuerst ein Schlüsselpaar und behält dabei den privaten Schlüssel geheim. Der Zertifizierungsantrag enthält Informationen, die den Antragsteller identifizieren (beispielsweise bei einem X.509-Zertifikat den eindeutigen Namen) und mit dem privaten Schlüssel des Antragstellers signiert werden müssen. Der Zertifizierungsantrag enthält außerdem den vom Antragsteller gewählten öffentlichen Schlüssel.

Erstellen einer Zertifikatsignieranforderung mit KeyStore Explorer

Zum Erstellen einer Zertifikatsignieranforderung erstellen Sie ein Schlüsselpaar und generieren dann eine Zertifikatanforderung. Wenn Sie die Zertifikatinformationen nicht aktualisieren möchten, können Sie den Schritt zum Erstellen des Schlüsselpaars überspringen und mit dem Generieren der Zertifikatanforderung fortfahren.

  • Neues Schlüsselpaar erstellen

    • Wählen Sie im Menü „Tools“ die Option „Generate Key Pair“ (Schlüsselpaar generieren) aus.

    • Geben Sie im Dialogfeld „Generate Key Pair“ (Schlüsselpaar generieren) die Algorithmusinformationen und Zertifikatdetails ein. Klicken Sie auf „OK“.

    • Geben Sie das entsprechende Alias (Servlet-Engine) und das standardmäßige Passwort (changeit) an.

  • Zertifizierungsantrag generieren

    • Wählen Sie das soeben erstellte Schlüsselpaar aus.

    • Wählen Sie im Kontextmenü die Option „Generate CSR“ (Zertifizierungsantrag generieren) aus.

    • Navigieren Sie zu dem Dateispeicherort, an dem Sie die Zertifikatsignieranforderung generieren möchten, und geben Sie den Dateinamen ein. Klicken Sie auf „OK“.

Erstellen eines Zertifizierungsantrags mit Java Keytool

Schlüsselpaar erstellen (Parameter dname mit Eigenem ersetzen) im Ordner sessionserver/etc:

..\..\java\bin\keytool.exe -genkeypair -dname "CN=hacloud-1.microfocus.com, O=Micro Focus, C=US" -alias servlet-engine -keyalg RSA -keysize 2048 -keystore keystore.bcfks -validity 1095 -storetype bcfks -storepass changeit -keystore changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider

Generieren der Zertifikatanforderung:

..\..\java/bin\keytool -certreq -alias servlet-engine -keystore keystore.bcfks -file cert_request.csr -ext ExtendedkeyUsage=serverAuth -storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider

Nachdem Sie das Zertifikat von der Zertifizierungsstelle empfangen haben, importieren Sie es in Host Access for the Cloud.