Export

Zum Abschluss können Schlüssel und Zertifikat auch noch exportiert werden, damit ein Benutzer damit arbeiten kann. Dazu klickt der Administrator wiederum mit der rechten Maustaste auf das Zertifikat und wählt »Zertifikat exportieren« aus. Für den Export der Daten stehen die Formate PEM, DER und PKCS#12 zur Auswahl. Beim gebräuchlichsten Format PEM kann der Admin auswählen, ob der Schlüssel im Zertifikat enthalten sein soll. Schlüssel und Zertifikat (im Format PEM oder PKCS#12 für Windows) zusammen zu exportieren, ist sicher sehr praktisch. Allerdings muss man darauf achten, ob die Applikation, für die das Zertifikat erstellt wurde, damit umgehen kann.

Genau so einfach ist es auch, den Schlüssel in einem der Standardformate PEM, DER oder PKCS#12 zu exportieren. Im Dialog für den Schlüsselexport besteht die Möglichkeit, den Schlüssel ohne Passwort, also unverschlüsselt zu exportieren. TinyCA fragt bei Auswahl dieser Option nach, ob der Administrator wirklich weiß, was er gerade macht. Um die Integrität des Schlüssels zu gewährleisten, sollte dieser eigentlich immer verschlüsselt sein. Unverschlüsselte Dateien sind nur für Zertifikate beziehungsweise Schlüssel von Serverdiensten denkbar, die eine Schlüsseldatei nicht entschlüsseln können.

Anwendungen

Mit dem Programm TinyCA kann der Administrator schnell eine CA für die eigene Firma erstellen und Zertifikate für Web- und Mailserver erzeugen. Auch Zertifikate für eine überschaubare Anzahl von Mitarbeitern oder Rechnern zu erstellen, ist mit TinyCA kein Problem. Das vereinfacht zum Beispiel die Verwaltung des VPN-Zugangs zur Firma per OpenVPN. Auch die Authentifizierung zum eigenen Postfach über Zertifikate anstelle von üblichem Username/Passwort ist denkbar. Grundsätzlich kann man Zertifikate überall dort einsetzen, wo authentifizierter Zugang zu Diensten benötigt wird. Die GUI läßt im Notfall auch den Widerruf von Zertifikaten und den Export einer Widerrufsliste (CRL) zu. Dem Administrator bleibt es überlassen, die aktuelle CRL auf dem Server zu installieren, der die Benutzer kontrollieren soll.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021