In der Regel dauert es zwei bis drei Wochen, bis Sie ein Zertifikat von einer anerkannten
Zertifizierungsstelle (CA) erhalten.
In der Zeit, in der Sie auf die Ausstellung eines Zertifikats warten, können Sie mit IKEYMAN ein selbst signiertes
Serverzertifikat für SSL-Sitzungen zwischen Clients und dem Server erstellen.
Gehen Sie wie folgt vor, wenn Sie als eigene CA für ein privates Webnetz auftreten.
Informationen zu diesem Vorgang
Führen Sie die folgenden Schritte aus, um ein selbst signiertes Zertifikat zu erstellen:
Vorgehensweise
- Sollten Sie die Schlüsseldatenbank noch nicht erstellt
haben, lesen Sie den Artikel Eine neue Schlüsseldatenbank erstellen.
- Starten Sie die Benutzerschnittstelle von IKEYMAN.
- Klicken Sie in der Hauptbenutzerschnittstelle auf Schlüsseldatenbankdatei und anschließend auf
Öffnen.
- Geben Sie im Dialogfenster "Öffnen" den Namen Ihrer Schlüsseldatenbank ein, oder klicken Sie auf die Datei
key.kdb, wenn Sie die Standarddatei verwenden.
Klicken Sie auf OK.
- Geben Sie im Dialogfenster "Aufforderung zur Kennworteingabe" Ihr Kennwort einund klicken Sie anschließend auf OK.
- Klicken Sie im Inhaltsrahmen "Schlüsseldatenbank" auf Persönliche Zertifikate und anschließend auf den
Radioknopf Neues, selbst unterzeichnetes.
- Geben Sie im Dialogfenster "Aufforderung zur Kennworteingabe" die folgenden Informationen ein:
- Schlüsselkennsatz: Geben Sie einen beschreibenden Kommentar für den Schlüssel und das Zertifikat in der Datenbank ein.
- Schlüsselgröße: Wählen Sie im Dropdown-Menü den gewünschten Verschlüsselungsgrad aus.
- Allgemeiner Name: Geben Sie den vollständig qualifizierten Hostnamen des Web-Servers ein.
Beispiel: www.myserver.com.
- Organisationsname: Geben Sie den Namen Ihrer Organisation ein.
- Optional: Organisationseinheit
- Optional: Standort
- Optional: Staat/Bundesland
- Optional: Postleitzahl
- Land: Geben Sie Ihren Landescode ein. Geben Sie mindestens zwei Zeichen an. Beispiel:
US
- Gültigkeitszeitraum
Eine Kontrollsumme der Zertifikatsanforderung wird mit dem neuen privaten Schlüssel verschlüsselt signiert und enthält eine Kopie des neuen
öffentlichen Schlüssels. Der öffentliche Schlüssel kann dann von einer Zertifizierungsstelle (Certificate Authority, CA) verwendet werden, um
sicherzustellen, dass die Zertifikatssignieranforderung nicht manipuliert wurde. Einige Zertifizierungsstellen setzen möglicherweise voraus, dass
die Kontrollsumme, die vom öffentlichen Schlüssel signiert wird, mit einem stärker formalisierten Algorithmus berechnet wird, z. B. SHA-1 oder SHA-2 (SHA-256, SHA-384, SHA-256).
Diese
Kontrollsumme ist der so genannte Signaturalgorithmus der Zertifikatssignieranforderung.
Anmerkung: IBM HTTP Server 8.0
wird mit dem Dienstprogramm IKEYMAN Version 8.x geliefert. Wenn Sie IKEYMAN Version 8.x verwenden, um eine Zertifikatsanforderung zu erstellen, wird der Benutzer
aufgefordert, einen Signaturalgorithmus aus einer Pulldown-Liste auszuwählen.
SAN-Erweiterungen (Subject Alternate Name, alternativer Subjektname) sind Felder,
in einer Zertifikatsanforderung, die SSL-Clients über alternative, dem signierten Zertifikat entsprechende Hostnamen informieren.
Normale Zertifikate (die ohne Platzhalterzeichen in ihrem definierten Namen ausgestellt werden) sind nur für einen einzigen Hostnamen gültig. Beispielsweise
ist ein Zertifikat, das für "example.com" erstellt wurde, nicht für "www.example.com" gültig, es sei denn, der alternative Subjektname
"www.example.com" wurde dem Zertifikat hinzugefügt.
Eine Zertifizierungsstelle kann eine zusätzliche Gebühr in Rechnung stellen, wenn Ihr Zertifikat einen oder mehrere SAN-Erweiterungen enthält.
- Klicken Sie auf OK.