Erwerb eines Zertifikats von der Zertifizierungsstelle
In diesem Abschnitt wird beschrieben, wie Sie ein Zertifikat von einer Zertifizierungsstelle (CA = Certificate Authority) erhalten. Um die SSL-Verschlüsselung für LicenseServer zu aktivieren, benötigen Sie die folgenden Dateien:
•Private Key-Datei: Wird von Ihnen mit Hilfe (i) einer eventuell auf Ihrem Betriebssystem bereits vorhandenen Applikation (wie Keychain Access unter Mac oder OpenSSL auf Linux) oder (ii) einer Drittanbieter-Applikation (wie OpenSSL) generiert.
•Zertifikatdatei: Dies ist der auf Ihrem Private Key basierende Public Key, den Sie von einer anerkannten Zertifizierungsstelle (CA) wie VeriSign oder Thawte erwerben. Zu diesem Zweck benötigen Sie: (i) den von Ihnen generierten Private Key und (ii) einen Certificate Signing Request (CSR) (Zertifikatsignieranforderung), der auch von Ihrer SSL-Applikation generiert werden kann.
•Certificate Chain (Zertifikatkette)-Dateien (oder Intermediate Certificate-Dateien): Diese erhalten Sie zusammen mit der Public Key-Zertifikatdatei von der CA.
Im Folgenden wird beschrieben, wie Sie diese drei Dateien erhalten.
Da OpenSSL auf den meisten Linux- und macOS-Rechnern bereits vorinstalliert ist und auch auf Windows-Rechnern installiert werden kann, werden die unten aufgelisteten Schritte zusammen mit den OpenSSL-Befehlen erläutert. Download Links zu den Open SSL Installer-Binärdateien finden Sie im OpenSSL Wiki.
Vorgehensweise beim Generieren eines Private Key und Anfordern von Zertifikaten von der CA
1.Generierung eines Private Key
Für SSL muss ein Private Key auf dem Server installiert sein. Verwenden Sie den folgenden Befehl, um den Private Key zu erstellen: openssl genrsa -out private.key 2048
Daraufhin wird eine Datei namens private.key generiert, die Ihren Private Key enthält. Der Privat Key muss im PEM (Privacy Enhanced Mail)-Format sein. Normalerweise ist die Dateierweiterung .pem, sie kann aber auch .key, .cert, .cer oder .crt sein. Der Private Key darf nicht passwortgeschützt sein. Speichern Sie die Datei an einem sicheren Ort und notieren Sie ihn sich (Nähere Informationen dazu finden Sie im Kapitel Private Key-Anforderungen). Sie benötigen den Private Key im nächsten Schritt zur Generierung des Certificate Signing Request (CSR).
|
2.Generierung eines Certificate Signing Request (CSR)
Ein Certificate Signing Request (CSR) wird an eine Zertifizierungsstelle (CA) gesendet, um ein Public Key-Zertifikat anzufordern. Der CSR basiert auf Ihrem Private Key und enthält Informationen über Ihr Unternehmen. Erstellen Sie mit dem folgenden OpenSSL-Befehl (der die in Schritt 1 erstellte Private Key-Datei private.key als einen seiner Parameter enthält) einen CSR: openssl req -new -nodes -key private.key -out my.csr
Bei der Generierung des CSR müssen Sie die folgenden Informationen über Ihr Unternehmen angeben (siehe Liste unten). Anhand dieser Informationen überprüft die Zertifizierungsstelle die Identität Ihres Unternehmens.
•Country (Land) •Locality (Ort) (den Firmensitz Ihres Unternehmens) •Organization (Ihr Firmenname). Verwenden Sie keine Sonderzeichen, da Ihr Zertifikat dadurch sonst ungültig wird. •Common Name (der DNS-Name Ihres Servers). Dieser muss genau mit dem vollständig qualifizierten Domain-Namen (FQDN) des Host-Rechners, auf dem der Server läuft, übereinstimmen. •Ein Challenge-Passwort. Lassen Sie diesen Eintrag leer!
|
3.Erwerb eines SSL-Zertifikats
Erwerben Sie ein SSL-Zertifikat von einer anerkannten Zertifizierungsstelle (CA) wie VeriSign oder Thawte. Befolgen Sie im Anschluss an diese Anleitung die VeriSign-Anleitung. Das Verfahren ist bei anderen Zertifizierungsstellen ähnlich.
•Gehen Sie zur VeriSign Website. •Klicken Sie auf Buy SSL Certificates. •Es stehen verschiedene Arten von SSL-Zertifikaten zur Verfügung. Für LicenseServer genügen Secure Site- oder Secure Site Pro-Zertifikate. EV (Extended Verification) ist nicht notwendig, da Benutzern keine grüne Adressleiste angezeigt wird. •Fahren Sie mit der Anmeldung fort und füllen Sie die erforderlichen Daten für Ihre Bestellung aus. •Wenn Sie nach dem (in Schritt 2 erstellten) CSR gefragt werden, kopieren Sie den Inhalt der Datei my.csr in das Bestellformular. •Bezahlen Sie das Zertifikat mit Ihrer Kreditkarte.
|
4.Zusendung der Public Key- und Zwischendateien von der CA
Ihre Zertifizierungsstelle bearbeitet Ihre Anmeldung im Laufe der nächsten zwei bis drei Werktage. Währenddessen erhalten Sie eventuell E-Mails oder Anrufe, mit denen überprüft wird, ob Sie bevollmächtigt sind, ein SSL-Zertifikat für Ihre DNS Domain anzufordern. Bitte helfen Sie der Zertifizierungsstelle bei der Einholung der erforderlichen Informationen.
Nach Abschluss der Autorisierung und Anmeldung erhalten Sie eine E-Mail mit dem Public Key Ihres SSL-Zertifikats. Der Public Key wird entweder in Klartextform oder in einem Anhang als .cer-Datei gesendet.
Außerdem erhalten Sie zwei Zwischenzertifikatdateien (primäres und sekundäres Zertifikat) entweder als Text oder in Dateiform. In einigen Fällen listet Ihre Zertifizierungsstelle (CA) den Inhalt von Zwischenzertifikaten auf ihrer Website auf.
•Zwischenzertifikate von Verisign: https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR657&actp=LIST&viewlocale=en_US •Zwischenzertifikat von Verisign für ihr Secure Site-Produkt: https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR1735
Kopieren Sie beide Zwischenzertifikate (Primär- und Sekundärzertifkat) in separate Textdateien und speichern Sie diese auf Ihrem Rechner.
|
5.Speichern des Public Key in einer Datei
Für die Verwendung mit LicenseServer muss der Public Key im PEM (Privacy Enhanced Mail)-Format gespeichert sein. Die Dateierweiterung ist normalerweise .pem, kann aber auch .key, .cert, .cer oder .crt. sein. Wenn der Public Key als Text gesendet wurde, kopieren Sie die Zeilen von
--BEGIN CERTIFICATE-- ... --END CERTIFICATE--
in eine Textdatei, die wir certificate.cer nennen wollen.
|
6.Speichern der Zwischenzertifikate der CA in einer einzigen Datei
Um die SSL-Verschlüsselung für LicenseServer zu aktivieren, müssen Sie das Primär- und das Sekundärzertifikat zu einer einzigen Datei kombinieren. Die Zwischenzertifikatdateien wurden Ihnen von der CA zugesendet (siehe Schritt 4 oben).
Kopieren Sie beide Zwischenzertifikate in eine einzige Datei, sodass sie sich in der richtigen Reihenfolge befinden. Die Reihenfolge ist von Bedeutung: (i) Sekundäres Zwischenzertifikat, (ii) primäres Zwischenzertifikat. Stellen Sie sicher, dass sich keine Zeilenschaltungen zwischen den Zertifikaten befinden. --BEGIN CERTIFICATE-- secondary intermediate certificate --END CERTIFICATE-- --BEGIN CERTIFICATE-- primary intermediate certificate --END CERTIFICATE--
Speichern Sie den erzeugten kombinierten Zertifikattext in einer Datei namens intermediates.cer. (Die Dateierweiterung kann eine der folgenden sein: .pem, .key, .cert, .cer oder .crt.) Diese Datei enthält die komplette Vertrauenskette in Form der Zwischenzertifikate, anhand welcher die CA Ihr Zertifikat signiert hat.
|
Ergebnisdateien
Nach Durchführung der oben beschriebenen Schritte haben Sie die folgenden Dateien zur Verfügung:
•Private Key-Datei: hat in den obigen Schritten den Namen private.key (siehe Schritt 1)
•Zertifikatdatei: hat in den obigen Schritten den Namen certificate.cer (siehe Schritt 2 bis 5)
•Zertifikatkettendateien (oder Zwischenzertifikatdateien): haben in den obigen Schritten den Namen intermediates.cer (siehe Schritt 4 und 6)
Speichern Sie diese Datei in einem passenden Ordner. Wenn Sie die SSL-Verschlüsselung in den Web-Schnittstellen-Einstellungen des Registers "Settings" aktivieren, müssen Sie die Pfade zu diesen Dateien eingeben.