It infrastructure rap/rac1000 – ADS-TEC RAP/RAC1000 User Manual Benutzerhandbuch

IT Infrastructure RAP/RAC1000

164

© ads-tec GmbH • Raiffeisenstr.14 • 70771 Leinfelden-Echterdingen

Hinweis:
Bei dieser Art der Authentifizierung wird überprüft, ob ein Zertifikat von einer bestimmten

Zertifizierungsstelle herausgegeben (bzw. signiert) wurde. Die Sicherheit basiert also auf

dem Vertrauen in die Zertifizierungsstelle, d.h. dem Vertrauen darauf, dass diese das

Zertifikat nur zu dem angegebenen Zweck ausgegeben (bzw. signiert) hat (z.B. zur

Authentifizierung einer bestimmten Webseite)!

E

RSTELLEN VON

Z

ERTIFIKATEN MIT

O

PEN

SSL

CA-Zertifikate und damit signierte Zertifikate können mit OpenSSL über die
Eingabeaufforderung erstellt werden. OpenSSL für Windows kann von

http://www.openssl.org/related/binaries.html

heruntergeladen werden. Anleitungen finden

sich zum Beispiel auf:

-

http://www.online-tutorials.net/security/openvpn-tutorial/tutorials-t-69-209.html

-

http://www.madboa.com/geek/openssl/

Hinweis:
Die Beispielzertifikate dienen der Veranschaulichung und dürfen auf keinen Fall für eine

echte Authentifizierung verwendet werden!
Die Zertifikate sind ab dem Zeitpunkt der Erstellung gültig - das Datum auf dem

erzeugenden Rechner muss also korrekt sein.
Eine Zertifikats-Infrastruktur kann auch mit Hilfe der Microsoft Windows Server

2000/2003 PKI erstellt werden. Ein Einstiegspunkt ist:

http://www.microsoft.com/pki

.

Die Identitätsangaben (Country Name, usw.) müssen gemacht werden, damit jedes

Zertifikat eindeutig ist! Zwei unterschiedliche Zertifikate dürfen nicht genau die gleichen

Angaben verwenden. Es muss mindestens ein Feld unterschiedlich sein (zum Beispiel der

Common Name).

Zertifikatsverwaltung mit OpenSSL ist durch die Bedienung per Windows Kommandozeile
etwas mühsam, weshalb wir für Anwendungsfälle im kleineren Maßstab die Verwendung

eines graphischen Frontends empfehlen. Daher wird im nächsten Kapitel die Verwendung
der freien Software „XCA“ erklärt.

E

RSTELLEN VON

Z

ERTIFIKATEN MIT

XCA

Schlüsselverwaltung mit XCA für OpenVPN
Dieses Kapitel erläutert Ihnen die Erstellung und Bedienung von CA, Server- und Client-

Zertifikaten mit XCA – speziell für die Verwendung mit OpenVPN.

Einleitung:
Für das Zertifikate-Management ist XCA ein sehr nützliches und vielfältiges Werkzeug.
Zunächst kann die Vielfalt an Möglichkeiten verwirrend wirken, wenn man doch „nur“ ein

paar Zertifikate für OpenVPN erstellen möchte. Die Grundlage für dieses Dokument ist die
XCA Version 0.9.0.