HOME 6 Installation von Gpg4win Top 8 Verbreitung des öffentlichen Zertifikats7 Erstellung eines Zertifikats Inhalt English

7 Erstellung eines Zertifikats

Nachdem Sie gelesen haben, warum GnuPG eigentlich so sicher ist (Kapitel 3) und wie eine gute Passphrase als Schutz Ihres geheimen Schlüssels entsteht (Kapitel 4), können Sie nun Ihr persönliches Schlüsselpaar erzeugen.

Wie Sie im Kapitel 3 gesehen haben, besteht ein Schlüsselpaar aus einem öffentlichen und einem geheimen Schlüssel. Ergänzt durch E-Mail-Adresse, Benutzerkennung etc., die Sie bei der Erstellung angeben (den sogenannten Metadaten), erhalten Sie Ihr geheimes Zertifikat mit dem öffentlichen und dem geheimen Schlüssel.

Diese Definition gilt sowohl für OpenPGP wie auch für S/MIME (S/MIME-Zertifikate entsprechen einem Standard mit der Bezeichnung „X.509“).

 
Eigentlich müsste man diesen wichtigen Schritt der Schlüsselpaar-Erzeugung ein paar Mal üben können ...

Genau das können Sie tun - allerdings nur für OpenPGP:

Wenn Sie sich für die OpenPGP-Methode der Beglaubigung entscheiden, das „Web of Trust“, dann können Sie den gesamten Ablauf der Schlüsselpaar-Erzeugung, Verschlüsselung und Entschlüsselung durchspielen, so oft Sie wollen, bis Sie ganz sicher sind.

Ihr Vertrauen in Gpg4win wird sich durch diese „Trockenübung“ festigen, und die „heiße Phase“ der OpenPGP-Schlüsselpaar-Erzeugung wird danach kein Problem mehr sein.

Ihr Partner bei diesen Übungen wird Adele sein. Adele ist ein Testservice, der noch aus dem Vorgänger-Projekt GnuPP stammt und bis auf Weiteres in Betrieb ist. Auch in diesem Kompendium können wir die Benutzung des Übungsroboters nur empfehlen. Wir bedanken uns bei den Inhabern von gnupp.de für den Betrieb von Adele.

Mit Hilfe von Adele können Sie Ihr OpenPGP-Schlüsselpaar, das Sie gleich erzeugen werden, ausprobieren und testen, bevor Sie damit Ernst machen. Doch dazu später mehr.

Los geht's! Rufen Sie das Programm Kleopatra über das Windows-Startmenü auf:

Daraufhin sehen Sie das Hauptfenster von Kleopatra - die Zertifikatsverwaltung:

Zu Beginn ist diese Übersicht leer, da Sie noch keine Zertifikate erstellt (oder importiert) haben.

Klicken Sie auf Datei -> Neues Zertifikat.

Im folgenden Dialog entscheiden Sie sich für ein Format, in dem anschließend ein Zertifikat erstellt werden soll. Sie haben die Wahl zwischen OpenPGP (PGP/MIME) oder X.509 (S/MIME). Die Unterschiede und Gemeinsamkeiten wurden bereits in Kapitel 5 erläutert.

 
Dieses Kapitel des Kompendiums verzweigt sich an dieser Stelle zu beiden Methoden. Am Ende des Kapitels fließen die Informationen wieder zusammen.

Je nachdem, ob Sie sich für OpenPGP oder X.509 (S/MIME) entschieden haben, lesen Sie nun also bitte entweder:

7.1 OpenPGP-Zertifikat erstellen

Klicken Sie im Zertifikats-Auswahldialog auf [Persönliches OpenPGP-Schlüsselpaar erzeugen].

Geben Sie im nun folgenden Fenster Ihren Namen und Ihre E-Mail-Adresse an. Name und E-Mail-Adresse sind später öffentlich sichtbar.

Optional können Sie einen Kommentar zum Schlüsselpaar eingeben. Normalerweise bleibt dieses Feld leer; wenn Sie aber einen Schlüssel zu Testzwecken erzeugen, sollten Sie dort als Erinnerung „Test“ eingeben. Dieser Kommentar ist Teil Ihrer Benutzerkennung und genau wie der Name und die E-Mail-Adresse später öffentlich sichtbar.

Wenn Sie die OpenPGP-Schlüsselpaar-Erzeugung zunächst einmal testen wollen, dann können Sie einfach einen beliebigen Namen und irgendeine ausgedachte E-Mail-Adresse eingeben, z.B.:
Heinrich Heine und heinrich@gpg4win.de

Die erweiterten Einstellungen benötigen Sie nur in Ausnahmefällen. Sie können sich im Kleopatra-Handbuch (über Hilfe -> Handbuch zu Kleopatra) über die Details informieren.

Klicken Sie auf [Weiter].

Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen zur Kontrolle aufgelistet. Falls Sie sich für die (vorbelegten) Experten-Einstellungen interessieren, können Sie diese über die Option Alle Details einsehen.

Wenn alles korrekt ist, klicken Sie anschließend auf [Schlüssel erzeugen].

Jetzt folgt der wichtigste Teil: die Eingabe Ihrer Passphrase!

Für die Schlüsselpaarerzeugung müssen Sie Ihre persönliche Passphrase eingeben:

Wenn Sie Kapitel 4 gelesen haben, dann sollten Sie jetzt eine einfach zu merkende und schwer zu knackende geheime Passphrase parat haben. Geben Sie sie in den oben gezeigten Dialog ein!

Beachten Sie bitte, dass dieses Fenster unter Umständen im Hintergrund geöffnet wurde und damit auf den ersten Blick nicht sichtbar ist.

Wenn die Passphrase nicht sicher genug ist, weil sie zu kurz ist oder keine Zahlen oder Sonderzeichen enthält, werden Sie darauf hingewiesen.

Auch an dieser Stelle können Sie ­- wenn Sie wollen ­- zunächst eine Test-Passphrase eingeben oder auch gleich „Ernst machen“.

Um sicherzugehen, dass Sie sich nicht vertippt haben, müssen Sie Ihre geheime Passphrase zweimal eingeben. Bestätigen Sie Ihre Eingabe jeweils mit [OK].

Nun wird Ihr OpenPGP-Schlüsselpaar angelegt:

Dies kann u.U. einige Minuten dauern. Sie können die Erzeugung der benötigten Zufallszahlen unterstützen, indem Sie im unteren Eingabefeld irgendetwas eingeben. Was Sie dort tippen, spielt keine Rolle: was Sie schreiben, wird nicht verwendet, nur die Zeitspannen zwischen den einzelnen Tastendrücken. Sie können auch mit einer anderen Anwendung Ihres Rechner weiterarbeiten und erhöhen damit ebenfalls leicht die Qualität des erzeugten Schlüsselpaars.

Sobald die Schlüsselpaarerzeugung erfolgreich abgeschlossen ist, erhalten Sie folgenden Dialog:

Im Ergebnis-Textfeld wird der 40-stellige „Fingerabdruck“ Ihres neu generierten OpenPGP-Zertifikats angezeigt. Dieser Fingerabdruck (engl. „Fingerprint“) ist weltweit eindeutig, d.h. keine andere Person besitzt ein Zertifikat mit identischem Fingerabdruck. Es ist sogar vielmehr so, dass es schon mit 8 Zeichen ein außerordentlicher Zufall wäre, wenn diese weltweit ein zweites Mal vorkämen. Daher werden oft nur die letzten 8 Zeichen des Fingerabdrucks verwendet bzw. angezeigt und als Schlüsselkennung (oder Schlüssel-ID) bezeichnet. Dieser Fingerabdruck identifiziert die Identität des Zertifikats wie der Fingerabdruck einer Person.

Sie brauchen sich den Fingerabdruck nicht zu merken oder abzuschreiben. In den Zertifikatsdetails von Kleopatra können Sie sich ihn jederzeit später anzeigen lassen.

Als Nächstes können Sie eine oder auch hintereinander mehrere der folgenden drei Schaltflächen betätigen:

Sicherheitskopie Ihres (geheimen) Zertifikats erstellen...
 
Geben Sie hier den Pfad an, unter dem Ihr vollständiges Zertifikat (das Ihr neues Schlüsselpaar enthält, also den geheimen und öffentlichen Schlüssel) exportiert werden soll:

Kleopatra wählt automatisch den Dateityp und speichert Ihr Zertifikat als .asc bzw. .gpg Datei ab - abhängig davon, ob Sie die Option ASCII-geschützt (engl. „ASCII armor“) ein- bzw. ausschalten.

Klicken Sie anschließend zum Exportieren auf [OK].

Wichtig: Falls Sie die Datei auf der Festplatte abspeichern, so sollten Sie diese Datei schnellstens auf einen anderen Datenträger (USB-Stick, Diskette oder CD-ROM) kopieren und die Originaldatei rückstandslos löschen, d.h. nicht im Papierkorb belassen! Bewahren Sie diesen Datenträger mit der Sicherheitskopie sicher auf.

Sie können eine Sicherheitskopie auch noch später anlegen; wählen Sie hierzu aus dem Kleopatra-Hauptmenü: Datei -> Geheimes Zertifikat exportieren... (vgl. Kapitel 19).

Zertifikat per E-Mail versenden...
 
Nach dem Klick auf diese Schaltfläche sollte eine neue E-Mail erstellt werden - mit Ihrem neuen öffentlichen Zertifikat im Anhang. Ihr geheimer OpenPGP-Schlüssel wird selbstverständlich nicht versendet. Geben Sie eine Empfänger-E-Mail-Adresse an und ergänzen Sie ggf. den vorbereiteten Text dieser E-Mail.

Beachten Sie: Nicht alle E-Mail-Programme unterstützen diese Funktion. Es geht aber natürlich auch manuell: Sollte sich kein neues E-Mail-Fenster öffnen, so beenden Sie den Zertifikatserstellungs-Assistenten, speichern Ihr öffentliches Zertifikat durch Datei -> Zertifikat exportieren und versenden diese Datei per E-Mail an Ihre Korrespondenzpartner. Weitere Details finden Sie im Abschnitt 8.1.

Zertifikate zu Zertifikatsserver senden...
 
Wie Sie einen weltweit verfügbaren OpenPGP-Zertifikatsserver in Kleopatra einrichten und wie Sie anschließend Ihr öffentliches Zertifikat auf diesem Server veröffentlichen, erfahren Sie in Kapitel 16.

Ihr OpenPGP-Zertifikat ist damit fertig erstellt. Beenden Sie anschließend den Kleopatra-Assistenten mit [Fertigstellen].

Weiter geht's mit dem Abschnitt 7.3 auf Seite X. Von dort an sind die Erklärungen für OpenPGP und X.509 wieder identisch.

7.2 X.509-Zertifikat erstellen

Klicken Sie im Zertifikatsformat-Auswahldialog von Seite X auf die Schaltfläche
[Persönliches X.509-Schlüsselpaar und Beglaubigungs-Anfrage erstellen].

Geben Sie im nun folgenden Fenster Ihren Namen (CN = common name), Ihre E-Mail-Adresse (EMAIL), Ihre Organisation (O = organization) und Ihren Ländercode (C = country) an. Optional können Sie noch Ort (L = locality) und Abteilung (OU = organizational unit) ergänzen.

Wenn Sie die X.509-Schlüsselpaar-Erzeugung zunächst einmal testen wollen, dann machen Sie beliebige Angaben für Name, Organisation sowie Ländercode und geben irgendeine ausgedachte E-Mail-Adresse ein, z.B.: CN=Heinrich Heine,O=Test,C=DE,EMAIL=heinrich@gpg4win.de

Die erweiterten Einstellungen benötigen Sie nur in Ausnahmefällen. Sie können sich im Kleopatra-Handbuch (über Hilfe -> Handbuch zu Kleopatra) über die Details informieren.

Klicken Sie auf [Weiter].

Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen zur Kontrolle aufgelistet. Falls Sie sich für die (vorbelegten) Experten-Einstellungen interessieren, können Sie diese über die Option Alle Details einsehen.

Wenn alles korrekt ist, klicken Sie auf [Schlüssel erzeugen].

Jetzt folgt der wichtigste Teil: die Eingabe Ihrer Passphrase!

Für die Schlüsselpaarerzeugung werden Sie aufgefordert, Ihre Passphrase einzugeben:

Wenn Sie Kapitel 4 gelesen haben, dann sollten Sie jetzt eine einfach zu merkende und schwer zu knackende geheime Passphrase parat haben. Geben Sie sie in den oben gezeigten Dialog ein!

Beachten Sie bitte, dass dieses Fenster unter Umständen im Hintergrund geöffnet wurde und damit auf den ersten Blick nicht sichtbar ist.

Wenn die Passphrase nicht sicher genug ist, weil sie zu kurz ist oder keine Zahlen oder Sonderzeichen enthält, werden Sie darauf hingewiesen.

Auch an dieser Stelle können Sie ­- wenn Sie wollen ­- zunächst eine Test-Passphrase eingeben oder auch gleich „Ernst machen“.

Um sicherzugehen, dass Sie sich nicht vertippt haben, müssen Sie Ihre geheime Passphrase zweimal eingeben. Abschließend werden Sie noch ein drittes Mal aufgefordert, Ihre Passphrase einzugeben: Sie signieren dabei Ihre Zertifikatsanfrage an die zuständige Beglaubigungsinstanz. Bestätigen Sie Ihre Eingaben jeweils mit [OK].

Nun wird Ihr X.509-Schlüsselpaar angelegt:

Dies kann u.U. einige Minuten dauern. Sie können die Erzeugung der benötigten Zufallszahlen unterstützen, indem Sie im unteren Eingabefeld irgendetwas eingeben. Was Sie dort tippen, spielt keine Rolle: was Sie schreiben, wird nicht verwendet, nur die Zeitspannen zwischen den einzelnen Tastendrücken. Sie können auch mit einer anderen Anwendung Ihres Rechner weiterarbeiten und erhöhen damit ebenfalls leicht die Qualität des erzeugten Schlüsselpaars.

Sobald die Schlüsselpaarerzeugung erfolgreich abgeschlossen ist, erhalten Sie folgenden Dialog:

Die nächsten Schritte werden durch die beiden folgenden Schaltflächen ausgelöst:

Anfrage in Datei speichern...
 
Geben Sie hier den Pfad an, unter dem Ihre X.509-Zertifikatsanfrage gesichert werden soll, und bestätigen Sie Ihre Eingabe. Kleopatra fügt beim Speichern automatisch die Dateiendung .p10 hinzu. Diese Datei kann später an eine Beglaubigungsinstanz (kurz CA für Certificate Authority) gesendet werden. Etwas weiter unten weisen wir Sie auf cacert.org hin, eine nicht kommerzielle Beglaubigungsinstanz (CA), die kostenlos X.509-Zertifikate ausstellt.
Anfrage per E-Mail versenden...
 
Es wird eine neue E-Mail erstellt - mit der soeben erstellten Zertifikatsanfrage im Anhang. Geben Sie eine Empfänger-E-Mail-Adresse an - in der Regel die Ihrer zuständigen Beglaubigungsinstanz - und ergänzen Sie ggf. den vorbereiteten Text dieser E-Mail.

Beachten Sie: Nicht alle E-Mail-Programme unterstützen diese Funktion. Es geht aber natürlich auch manuell: Sollte sich kein neues E-Mail-Fenster öffnen, dann speichern Sie Ihre Anfrage zunächst in eine Datei (siehe oben) und versenden diese Datei per E-Mail an Ihre Beglaubigungsinstanz (Certificate Authority, CA).

Sobald die Anfrage von der CA bearbeitet wurde, erhalten Sie von Ihrem zuständigen CA-Systemadministrator das fertige und von der CA unterzeichnete X.509-Zertifikat. Dieses müssen Sie dann nur noch in Kleopatra importieren (vgl. Kapitel 19).

Beenden Sie anschließend den Kleopatra-Assistenten mit [Fertigstellen].

Erstellung eines X.509-Zertifikats mit www.cacert.org

CAcert ist eine nicht kommerzielle Beglaubigungsinstanz (CA), die kostenlos X.509-Zertifikate ausstellt. Damit wird eine Alternative zu den kommerziellen Root-CAs geboten, die zum Teil recht hohe Gebühren für ihre Zertifikate erheben.

Damit Sie sich ein (Client-)Zertifikat bei CAcert erstellen können, müssen Sie sich zunächst bei www.cacert.org registrieren.

Sofort anschließend können Sie ein oder mehrere Client-Zertifikat(e) auf cacert.org erstellen: Sie sollten dabei auf eine ausreichende Schlüssellänge (z.B. 2048 Bit) achten. Im dortigen Web-Assistenten legen Sie Ihre sichere Passphrase für Ihr Zertifikat fest.

Ihr Client-Zertifikat wird nun erstellt.

Im Anschluss daran erhalten Sie eine E-Mail mit zwei Links zu Ihrem neu erstellten X.509-Zertifikat und dem dazugehörigen CAcert-Root-Zertifikat. Laden Sie sich beide Zertifikate herunter.

Folgen Sie den Anweisungen und installieren Sie Ihr Zertifikat in Ihrem Browser. Bei Firefox können Sie danach z.B. über Bearbeiten -> Einstellungen -> Erweitert -> Zertifikate Ihr installiertes Zertifikat unter dem ersten Reiter „Ihre Zertifikate“ mit dem Namen (CN) CAcert WoT User finden.

Sie können nun ein persönliches X.509-Zertifikat ausstellen, das Ihren Namen im CN-Feld trägt. Dazu müssen Sie Ihren CAcert-Account von anderen Mitgliedern des CACert-Web-of-Trust beglaubigen lassen. Wie Sie eine derartige Bestätigung in die Wege leiten, erfahren Sie auf den Internetseiten von CAcert.

Speichern Sie abschließend eine Sicherungskopie Ihres persönlichen X.509-Zertifikats. Die Sicherungskopie erhält automatisch die Endung .p12.

Achtung: Diese .p12 Datei enthält Ihren öffentlichen und Ihren geheimen Schlüssel. Achten Sie daher unbedingt darauf, dass diese Datei nicht in fremde Hände gelangt.

Wie Sie Ihr persönliches X.509-Zertifikat in Kleopatra importieren, erfahren Sie in Kapitel 19.

 
Weiter geht's mit Abschnitt 7.3 auf der nächsten Seite. Von nun an sind die Erklärungen für OpenPGP und X.509 wieder identisch.

7.3 Zertifikatserstellung abgeschlossen

Damit ist die Erzeugung Ihres OpenPGP- bzw. X.509-Schlüsselpaares abgeschlossen. Sie besitzen nun einen einzigartigen elektronischen Schlüssel.

Im weiteren Verlauf des Kompendiums wird nur noch ein OpenPGP-Zertifikat als Beispiel verwendet - alles Gesagte gilt aber auch entsprechend für ein X509-Zertifikat.

Sie befinden sich nun wieder im Hauptfenster von Kleopatra. Das soeben erzeugte OpenPGP-Zertifikat finden Sie in der Zertifikatsverwaltung unter dem Reiter Meine Zertifikate:

Doppelklicken Sie auf Ihr neues Zertifikat, um alle Zertifikatsdetails sehen zu können:

Was bedeuten die einzelnen Zertifikatsdetails?

Ihr Zertifikat ist unbegrenzt gültig, d.h. es hat kein „eingebautes Verfallsdatum“. Um die Gültigkeit nachträglich zu verändern, klicken Sie auf [Ablaufdatum ändern].

Weitere Details zum Zertifikat finden Sie im Kapitel 15.


© 21. Mai 2010, v3.0.0 (zuletzt geringfügig korrigiert am 21. September 2010)
Das Gpg4win-Kompendium ist unter der GNU Free Documentation License v1.2 lizensiert.


HOME 6 Installation von Gpg4win Top 8 Verbreitung des öffentlichen Zertifikats7 Erstellung eines Zertifikats Inhalt English