Quick Reference Guide QRG_037_DE_01_Erstellen-von-X509-Zertifikaten.docx PHOENIX CONTACT 2014-01-20 Für eine sichere VPN-Verbindung sind Zertifikate nötig. Zertifikate können bei Zertifizierungsstellen erworben oder mit entsprechender Software selber erstellt werden. Beispielhaft wird die Erstellung von X.509 Zertifikaten mit dem Programm XCA in der Version 0.9.3 durchgeführt. Das Programm XCA kann unter http://xca.sourceforge.net herunter geladen werden. 1 Installieren Starten Sie die Setup-Datei setup_xca-0.9.3.exe und folgen Sie den weiteren Anweisungen des Setupprogramms. 2 Neue Datenbank anlegen Nach der Installation das Programm XCA starten und eine neue Datenbank über den Menüpunkt Datei Neue Datenbank anlegen. Vergeben Sie ein Passwort, um die Datenbank zu verschlüsseln.
3 CA-Zertifikat erstellen Zuerst muss ein Zertifikat einer Certificate Authority (CA) erstellt werden. Dieses Root-Zertifikat dient als bescheinigende, beglaubigende Instanz dafür, alle weiteren von ihr abgeleiteten Zertifikate zu signieren und damit für die Echtheit des sich im Umlauf befindlichen Zertifikates zu bürgen. Zum Erstellen im Programm XCA auf den Reiter Zertifikate wechseln und dort ein neues Zertifikat anlegen. Im dargestellten Programmfenster ist bereits ein Selbst signiertes Zertifikat mit dem Signatur Algorithmus SHA-1 voreingestellt. QRG_037_DE_01_Erstellen-von-X509-Zertifikaten.docx PHOENIX CONTACT 2
Tragen Sie auf dem Reiter Inhaber die Informationen zu dem Besitzer des Root-Zertifikates ein. Erstellen Sie einen Schlüssel für dieses Zertifikat. Der voreingestellte Name, Schlüsseltyp und die Schlüssellänge können beibehalten werden. Die Gültigkeitsdauer des Zertifikates ist auf dem Reiter Erweiterungen festgelegt. Das Root-Zertifikat sollte eine längere Gültigkeit bekommen, als die später zu erstellenden Maschinen-Zertifikate. In diesem Beispiel ist die Gültigkeit auf 10 Jahre gesetzt. Stellen Sie den Typ des Zertifikats hier auf Zertifikats Authorität. Aktivieren Sie alle Optionen, wie im Bild dargestellt. QRG_037_DE_01_Erstellen-von-X509-Zertifikaten.docx PHOENIX CONTACT 3
Klicken Sie auf OK, die Erstellung dieses Zertifikates ist damit abgeschlossen. In der Übersicht ist nun ein neues Root-Zertifikat aufgeführt, von dem die weiteren Maschinen-Zertifikate abgeleitet werden können. QRG_037_DE_01_Erstellen-von-X509-Zertifikaten.docx PHOENIX CONTACT 4
4 Vorlage erstellen Die weitere Erstellung von Maschinen-Zertifikaten kann durch die Verwendung von Vorlagen erleichtert werden. Dazu im Programmfenster den Reiter Vorlagen wählen und die Erstellung einer neuen Vorlage für ein Endstellen-Zertifikat beginnen. Die Abfrage nach den Vorlagenwerten muss mit Nichts beantwortet werden. Auf der Registerkarte Inhaber können die Angaben für die später zu erstellenden Zertifikate voreingestellt werden. Die Namen müssen dabei in den Zertifikaten vergeben werden, so dass hier eine Angabe in spitzen Klammern einen Platzhalter darstellt, der jeweils bei der Anwendung der Vorlage individuell zu setzen ist. QRG_037_DE_01_Erstellen-von-X509-Zertifikaten.docx PHOENIX CONTACT 5
Der Typ der Zertifikate muss auf dem Reiter Erweiterungen auf End Instanz umgestellt werden, da die Vorlage für die Maschinen-Zertifikate Anwendung finden soll. Die Gültigkeit der zu erstellenden Zertifikate ist im Beispiel mit 365 Tagen angegeben. Mit Ablauf des sich daraus ergebenen End-Datums können die Zertifikate nicht mehr eingesetzt werden. Klicken Sie auf OK, um das Erstellen der Vorlage auszuschließen. Nun können auf Basis der Vorlage Zertifikate erstellt werden, die mit dem Root-Zertifikat signiert sind. QRG_037_DE_01_Erstellen-von-X509-Zertifikaten.docx PHOENIX CONTACT 6
5 Zertifikate erstellen Um auf Basis der Vorlage Zertifikate zu erstellen, wieder auf den Reiter Zertifikate wechseln und ein neues Zertifikat erzeugen. In dem sich öffnenden Programmfenster wird auf der Registerkarte Herkunft das Root-Zertifikat angegeben, welches zum Unterschreiben verwendet werden soll. Zusätzlich kann eine erstellte Vorlage ausgewählt und durch Betätigen der Schaltfläche Alles Übernehmen eingelesen werden. Der Reiter Besitzer zeigt nun leere Felder oder die Vorgaben aus der eingelesenen Vorlage an. Wichtig ist bei den Angaben auf diesem Reiter, dass sich die Zertifikate mindestens in dem Namen (Interner Name und Üblicher Name) unterscheiden. Als Name kann hier zum Beispiel die Betriebsmittelkennzeichnung der Maschine bzw. des Standortes verwendet werden. QRG_037_DE_01_Erstellen-von-X509-Zertifikaten.docx PHOENIX CONTACT 7
Erstellen Sie einen neuen privaten Schlüssel für dieses Zertifikat. Klicken Sie auf OK, um das Erstellen des Maschinen-Zertifikats abzuschließen. Sie haben nun ein Maschinen-Zertifikat erstellt, das von der CA signiert ist. QRG_037_DE_01_Erstellen-von-X509-Zertifikaten.docx PHOENIX CONTACT 8
6 Zertifikate exportieren Zur Verwendung in Routern muss nun der Export eines Maschinen-Zertifikates durchgeführt werden. Dazu das entsprechende Zertifikat aus der Liste auswählen und auf Export klicken. Das vollständige Zertifikat inklusive des privaten Schlüssels und CA-Zertifikates muss das Format PKCS #12 with Certificate Chain haben und kann dann als Maschinen-Zertifikat in die jeweilige Komponente eingespielt werden. QRG_037_DE_01_Erstellen-von-X509-Zertifikaten.docx PHOENIX CONTACT 9
Aus Sicherheitsgründen ist das Maschinen-Zertifikat mit einem frei wählbarem Passwort versehen. Geben Sie hier das Passwort ein. Es wird beim Laden des Maschinen-Zertifikat in die jeweilige Komponente benötigt. Zusätzlich muss auch das Gegenstellenzertifikat exportiert werden. Dieses wird ohne die privaten Schlüssel im Format PEM abgelegt. PHOENIX CONTACT GmbH & Co. KG 32825 Blomberg Germany 10 www.phoenixcontact.com