Mit dem Tool „crtcert“ (create certificate) erzeugen Sie ein neues Zertifikat und speichern dieses in Form einer oder mehrerer Dateien. Sie benötigen Zertifikate zum einen für die Ausstellung weiterer Zertifikate (Site-Zertifikat, Zertifizierungsstellen-Zertifikat etc.) und zum anderen im Rahmen verschiedener Authentifizierungs-Szenarien.
1 Zielgruppe
- Administratoren
- Technische Berater
2 Begriffsbestimmung
Zertifikat
Ein Zertifikat ist vergleichbar mit einem Ausweis, wie z. B. einem Reisepass, mit dem sich Personen identifizieren. Mit einem Zertifikat wird die Identität von Benutzern, Diensten und Servern überprüft. Das Zertifikat stellt einen öffentlichen Schlüssel dar, der mit Informationen zu seinem Besitzer verknüpft ist. Diese Zuordnung wird in der Regel von einer Zertifizierungsstelle (Certificate Authority, CA) durch deren digitale Unterschrift beglaubigt.
Unterschieden werden Benutzer- und Server-Zertifikate. Anhand eines Benutzer-Zertifikates kann Semiramis den Benutzer identifizieren, der sich an das Semiramis-System anmelden möchte. Nach der Prüfung der Gültigkeit des Zertifikats, also wenn es sich um ein registriertes und damit vertrauenswürdiges Zertifikat handelt, wird dem Benutzer der Zugang zum System gewährt. Semiramis identifiziert sich gleichermaßen beim Benutzer, der sich anmelden möchte, durch ein Server-Zertifikat. Dadurch kann der Benutzer sicher sein, auch mit dem Server verbunden zu sein, an den er sich anmelden möchte.
3 Beschreibung
Das Tool dient zur Erzeugen eines neuen Zertifikats in Form einer oder mehrerer Dateien. Sie benötigen Zertifikate zum einen für die Ausstellung weiterer Zertifikate (Site-Zertifikat, Zertifizierungsstelle-Zertifikat etc.) und zum anderen im Rahmen verschiedener Authentifizierungs-Szenarien.
3.1 Befehl
Nachfolgend finden Sie den Befehl inklusive aller möglichen Parameter.
| crtcert | -type:<vs> -exportDirectory:<text> -exportFileName:<text>
-exportFileFormat:<vs> [-exportFilePassword:<str>] [-randomPassword] [-issuer:<str>] [-issuerFileName:<text>] [-issuerFilePassword:<str>] –commonName:<str> [-title:<str>] [-emailAddress:<str>] [-ipAddress:<str>] -organizationalUnits:<str-1> … -organizationalUnits:<str-n> -organization:<str> [-street:<str>] [-locality:<str>] [-state:<str>] -country:<str> [-domainComponents:<str-1> … -domainComponents:<str-n>] [-validUntil:<str>] [-keyAlg:<str>] [-sigAlg:<str>] |
3.2 Parameter
Die Parameter des Befehls werden in der folgenden Tabelle erläutert. Die in eckigen Klammern gesetzten Parameter sind optional, die anderen hingegen sind Pflichtparameter. Für einige Parameter kann ein Stern (*) als Platzhalter angegeben werden, um damit alle möglichen Werte ausgeben zu können. Nicht alle Parameter können mehrfach genannt werden; nur die, die folgenden Zusatz an den Parametervariablen aufweisen, sind für die Mehrfachnennung zugelassen: „<str-1> … <str–n>“.
| Parameter | Erläuterung |
| -type:<vs> | Generierungstyp des zu erzeugenden Zertifikats. Der Generierungstyp bestimmt, welche Attribute ein gültiges Zertifikat besitzen muss bzw. besitzen darf. Er steuert somit auch, welche der nachfolgenden Parameter erforderlich ist. Die möglichen Werte sind
· „Stammzertifizierungsstellen-Zertifikat“ · „Zwischenzertifizierungsstellen-Zertifikat“ · „Server-Zertifikat“ · „Benutzer-Zertifikat“ |
| -exportDirectory:<text> | Ordner, in dem das erzeugte Zertifikat gespeichert wird. Geben Sie den vollständigen Pfad des Ordners mit dem Schema „file://“ oder „kstore://“ an. |
| -exportFileName:<text> | Name der Datei, in die das erzeugte Zertifikat gespeichert werden soll. Geben Sie den Namen ohne Dateipfad und ohne Dateierweiterung an. |
| -exportFileFormat:<vs> | Dateiformat des zu erzeugenden Zertifikats. Zur Auswahl stehen folgende Formate, abhängig von dem Objekt, dessen Zertifikat erzeugt werden soll, und abhängig davon, ob ein privater Schlüssel vorhanden ist:
· „CER-Datei“ · „JKS-Datei“ · „PFX-Datei“ · „PFX- und JKS-Datei“ · „PFX-Datei als E-Mail an Benutzer“ · |
| [-exportFilePassword:<str>] | Kennwort für das Verschlüsseln der erzeugten Zertifikats-Dateien. Die Angabe des Kennwortes ist bei Zertifikats-Dateien in den Formaten „PFX-Datei“ und „JKS-Datei“ erforderlich. Alternativ kann mit Hilfe des Parameters „-randomPassword“ ein zufälliges Kennwort erzeugt werden. |
| [-randomPassword] | Mit diesem Parameter wird ein zufälliges Kennwort für die Zertifikats-Datei erzeugt und ausgegeben. Die Angabe dieses Parameters ersetzt die Angabe des Parameters „-exportFilePassword“. |
| [-issuer:<str>] | Aussteller, d. h. die Zertifizierungsstelle, die das zu erzeugende Zertifikat ausgestellt. Alternativ kann das Zertifikat des Ausstellers mit dem Parameter „-issuerFileName“ aus einer Datei gelesen werden. Bei der Verwendung des Generierungstyps „Stammzertifizierungsstellen-Zertifikat“ entfällt diese Angabe. |
| [-issuerFileName:<text>] | Dateiname der Zertifikats-Datei des Ausstellers. Geben Sie den vollständigen Pfad der Datei mit dem Schema „file://“ an. Bei der Verwendung des Generierungstyps „Stammzertifizierungsstellen-Zertifikat“ entfällt diese Angabe. |
| [-issuerFilePassword:<str>] | Kennwort für das Importieren der Zertifikats-Datei des Ausstellers, wenn diese angegeben wurde. Die Angabe des Kennwortes ist bei Zertifikats-Dateien in den Formaten „PFX-Datei“ und „JKS-Datei“ erforderlich. |
| -commonName:<str> | Name des Zertifikatsinhabers des erzeugten Zertifikats. |
| [-title:<str>] | Titel des Zertifikatsinhabers des erzeugten Zertifikats. Das Feld ist nur bei den Benutzer-Zertifikaten sichtbar. |
| [-emailAddress:<str>] | E-Mail-Adresse des Zertifikatsinhabers des erzeugten Zertifikats. |
| [-ipAddress:<str>] | IP-Adresse des Servers im erzeugten Server-Zertifikat, wenn diese statisch ist. |
| -organizationalUnits:<str-1> …
-organizationalUnits:<str-n> |
Organisationseinheiten, für die der Zertifikatsinhaber des erzeugten Zertifikats tätig ist. |
| -organization:<str> | Organisation, für die der Zertifikatsinhaber des erzeugten Zertifikats tätig ist. |
| [-street:<str>] | Straße des Zertifikatsinhabers des erzeugten Zertifikats. |
| [-locality:<str>] | Ort des Zertifikatsinhabers des erzeugten Zertifikats. |
| [-state:<str>] | Region des Zertifikatsinhabers des erzeugten Zertifikats. |
| -country:<str> | Land des Zertifikatsinhabers des erzeugten Zertifikats. |
| [-domainComponents:
<str-1> … -domainComponents:<str-n>] |
Domain-Namens-Bestandteil des erzeugten Zertifikats. Die Angabe ist optional. |
| [-validUntil:<timestamp>] | Zeitpunkt, an dem die Gültigkeit des erzeugten Zertifikats endet. |
| [-keyAlg:<str>] | Zeigt den Algorithmus an, der für das Erzeugen des Zertifikatsschlüssels verwendet wird, und die Länge des Zertifikatsschlüssels. Folgende Werte können ausgewählt werden:
· RSA (1024 Bits) Der Zertifikatsschlüssel wird mit dem RSA-Algorithmus erstellt und hat eine Länge von 1024 Bits. · RSA (2048 Bits) Der Zertifikatsschlüssel wird mit dem RSA-Algorithmus erstellt und hat eine Länge von 2048 Bits. Dies ist der Vorschlagswert. · RSA (4096 Bits) Der Zertifikatsschlüssel wird mit dem RSA-Algorithmus erstellt und hat eine Länge von 4096 Bits. · ECDSA (256 Bits) Der Zertifikatsschlüssel wird mit dem ECDSA-Algorithmus erstellt und hat eine Länge von 256 Bits. |
| [-sigAlg:<str>] | Zeigt den Algorithmus an, der zur Berechnung des Fingerabdrucks verwendet wird. Mögliche Werte sind:
· SHA1 Der Fingerabdruck ist mit dem Algorithmus „SHA1“ erstellt worden. · SHA256 Der Fingerabdruck ist mit dem Algorithmus „SHA256“ erstellt worden. Dies ist der Vorschlagswert. |
3.3 Berechtigungen
Das Berechtigungskonzept sowie die generellen anwendungsbezogenen und Entity-bezogenen Berechtigungen können Sie in der Technischen Dokumentation im Dokument „Berechtigungen“ nachlesen.