Verwendete Begriffe:
Privater Schlüssel: Ein geheimer, nur dem Eigentümer bekannter Schlüssel, der zusammen mit einem Algorithmus der Ver- und Entschlüsselung von Daten dient
Schlüsselpaar: der private Schlüssel und die zugehörige Zertifikatskette
Eindeutiger Name: Die kenntlich machende Information in einem Zertifikat. Ein Zertifikat enthält den eindeutigen Namen zur Identifikation des Eigentümers/Requesters des Zertifikats und den eindeutigen Namen zur Identifikation des Zertifikatsausstellers.
X.509-Zertifikat: ein digitales Zertifikat gemäß dem weithin akzeptierten internationalen X.509-Standard für PKI (Public Key Infrastructure; Infrastruktur für öffentliche Schlüssel), das dazu dient, die Eigentümerschaft des Benutzers am öffentlichen Schlüssel zu bestätigen
Vor dem Erstellen des Zertifizierungsantrags generiert der Antragsteller zuerst ein Schlüsselpaar und behält dabei den privaten Schlüssel geheim. Der Zertifizierungsantrag enthält Informationen, die den Antragsteller identifizieren (beispielsweise bei einem X.509-Zertifikat den eindeutigen Namen) und mit dem privaten Schlüssel des Antragstellers signiert werden müssen. Der Zertifizierungsantrag enthält außerdem den vom Antragsteller gewählten öffentlichen Schlüssel.
Erstellen einer Zertifikatsignieranforderung mit KeyStore Explorer
Zum Erstellen einer Zertifikatsignieranforderung erstellen Sie ein Schlüsselpaar und generieren dann eine Zertifikatanforderung. Wenn Sie die Zertifikatinformationen nicht aktualisieren möchten, können Sie den Schritt zum Erstellen des Schlüsselpaars überspringen und mit dem Generieren der Zertifikatanforderung fortfahren.
Neues Schlüsselpaar erstellen
Wählen Sie im Menü „Tools“ die Option „Generate Key Pair“ (Schlüsselpaar generieren) aus.
Geben Sie im Dialogfeld „Generate Key Pair“ (Schlüsselpaar generieren) die Algorithmusinformationen und Zertifikatdetails ein. Klicken Sie auf „OK“.
Geben Sie das entsprechende Alias (Servlet-Engine) und das standardmäßige Passwort (changeit) an.
Zertifizierungsantrag generieren
Wählen Sie das soeben erstellte Schlüsselpaar aus.
Wählen Sie im Kontextmenü die Option „Generate CSR“ (Zertifizierungsantrag generieren) aus.
Navigieren Sie zu dem Dateispeicherort, an dem Sie die Zertifikatsignieranforderung generieren möchten, und geben Sie den Dateinamen ein. Klicken Sie auf „OK“.
Erstellen eines Zertifizierungsantrags mit Java Keytool
Schlüsselpaar erstellen (Parameter dname mit Eigenem ersetzen) im Ordner sessionserver/etc:
..\..\java\bin\keytool.exe -genkeypair -dname "CN=hacloud-1.microfocus.com, O=Micro Focus, C=US" -alias servlet-engine -keyalg RSA -keysize 2048 -keystore keystore.bcfks -validity 1095 -storetype bcfks -storepass changeit -keystore changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider
Generieren der Zertifikatanforderung:
..\..\java/bin\keytool -certreq -alias servlet-engine -keystore keystore.bcfks -file cert_request.csr -ext ExtendedkeyUsage=serverAuth -storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider
Nachdem Sie das Zertifikat von der Zertifizierungsstelle empfangen haben, importieren Sie es in Host Access for the Cloud.