Dieser Configuration Guide zeigt, wie eine Zertifikatsstruktur mit dem Tool XCA erzeugt wird.

Zertifikate bzw. eine Zertifikatsstruktur sind für verschiedene Router-Anwendungen erforderlich, wie:

1. Situation

Sie möchten ein VPN-Netzwerk oder eine gesicherte Verbindung aufsetzen und benötigen eine Zertifikatsstruktur für Authentifizierungs- und Verschlüsselungszwecke.

2. Lösung

Im Folgenden wird beschrieben, wie eine komplette Zertifikatsstruktur bestehend aus CA-Zertifikat, Server-Zertifikat und -Schlüssel, Client-Zertifikat und -Schlüssel sowie einer Certificate Revocation List (CRL, Zertifikats-Rücknahmeliste) erzeugt wird. Je nach Ihrer Anwendung benötigen Sie möglicherweise nicht alle davon.

Es ist erforderlich, dass Sie das Tool XCA heruntergeladen und auf Ihrem Computer installiert haben. Es ist auch erforderlich, dass Uhrzeit und Datum im PC korrekt sind. [1]

Die Erzeugung eines Diffie-Hellman-Parametersatzes mit XCA (Menü Datei –> DH Parameter erstellen) ist hier nicht beschrieben, da ein Diffie-Hellman-Parametersatz bereits auf dem Router gespeichert ist und im Menü AdministrationCertificates heruntergeladen werden kann ().

2.1. Vorbereitende Schritte

Vor dem Erzeugen der Zertifikatsstruktur muss zuerst eine Datenbank erzeugt werden. Die Zertifikatsvorlagen helfen beim Aufrechterhalten von Konsistenz beim Erzeugen der Zertifikate.

  1. Zum Erzeugen einer Datenbank, XCA öffnen und DateiNeue Datenbank auswählen.

  2. Einen Dateinamen eingeben und ein geeignetes Verzeichnis für die XCA-Datenbank angeben.

  3. Zweimal ein Passwort eingeben und auf OK klicken, um die Datenbank zu erzeugen. [2]

2.2. Erstellen von Zertifikat-Templates

Templates können verwendet werden, um allgemeine Informationen für alle Zertifikate zu speichern und erleichtern die Erstellung von Zertifikaten.

  1. Zum Erzeugen einer CA-Zertifikatsvorlage XCA öffnen, auf die Registerkarte Vorlagen wechseln und auf Neue Vorlage klicken.

  2. Im Fenster zum Einstellen der Vorlagenwerte CA auswählen und auf OK klicken.

  3. Ihre Vorgabewerte für die CA-Vorlage ohne Angabe eines commonName eintragen.

  4. Auf die Registerkarte Erweiterungen wechseln, wenn erforderlich den Gültigkeitszeitraum des Zertifikats durch Angabe einer Zeitspanne festlegen und auf OK klicken. [3]

  5. Die Erstellung der Vorlage mit OK bestätigen. [4]

  6. Die vorhergehenden Schritte entsprechend wiederholen, um eine Server-Vorlage und eine Client-Vorlage zu erstellen.

Wenn Sie spezielle Templates für Zertifikate, die für das Verschlüsseln oder Signieren von Update-Paketen für INSYS Router verwendet werden können, erstellen wollen, müssen Sie eine zusätzliche Schlüsselverwendung für diese Zertifikate angeben. Wenn Sie diese Zertifikate basierend auf normalen Templates erzeugen wollen, müssen Sie die Schlüsselverwendung bei der Erstellung der Zertifikate unten angeben. Um die Schlüsselverwendung anzugeben, wechseln Sie auf den Reiter Key usage und wählen Sie die entsprechende X509v3 Key Usage aus. Das Zertifikat für die Verschlüsselung muss die Schlüsselverwendung Data Encipherment haben und das Zertifikat für die Signatur Digital Signature. Dies ist detailliert beschrieben in Signieren und Verschlüsseln von Update-Paketen.

2.3. Erstellen der Zertifikate und Schlüssel

Für die Erzeugung der Zertifikate benötigen Sie einen Common Name. Der Common Name ist der einzigartige Mitgliedsname eines Teilnehmers im gesicherten Netzwerk und wird z. B. zum Routing in die Client-Netzwerke verwendet. Der Common Name darf nur für einen Teilnehmer verwendet werden und ist nach der Erzeugung unveränderlich. Achten Sie beim Common Name auf Groß-/Kleinschreibung und verwenden Sie am besten durchgängig nur eine dieser Möglichkeiten. Die maximale Länge des Common Name für ein INSYS Smart Device ist 29 Zeichen.

2.3.1. Erstellen eines CA-Zertifikats und Schlüssels

  1. Zum Erzeugen eines CA-Zertifikats und Schlüssels auf die Registerkarte Zertifikate wechseln und auf Neues Zertifikat klicken.

  2. Oben erstellte CA-Vorlage unter Vorlage für das neue Zertifikat auswählen.

  3. Auf Alles übernehmen klicken, um die Daten aus der Vorlage in das Formular einzutragen.

  4. Auf die Registerkarte Inhaber wechseln, den commonName angeben und diesen auch als Interner Name zuweisen.

  5. Auf Erstelle einen neuen Schlüssel klicken.

  6. Vorzugsweise den commonName auch als Name verwenden und auf Erstellen klicken.

  7. Die Erstellung des Schlüssels mit OK bestätigen.

  8. Auf OK klicken und erneut mit OK bestätigen, um die Erstellung des CA-Zertifikats abzuschließen.

2.3.2. Erstellen von Server- und Client Zertifikaten und Schlüsseln

  1. Zum Erzeugen eines Server-Zertifikats und Schlüssels auf die Registerkarte Zertifikate wechseln und auf Neues Zertifikat klicken.

  2. Im Abschnitt Unterschreiben die Option Verwende dieses Zertifikat zum Unterschreiben markieren und oben erzeugtes CA-Zertifikat auswählen.

  3. Oben erstellte Server-Vorlage unter Vorlage für das neue Zertifikat auswählen.

  4. Auf Alles übernehmen klicken, um die Daten aus der Vorlage in das Formular einzutragen.

  5. Auf die Registerkarte Inhaber wechseln, den commonName angeben und diesen auch als Interner Name zuweisen.

  6. Auf Erstelle einen neuen Schlüssel klicken.

  7. Vorzugsweise den commonName auch als Name verwenden und auf Erstellen klicken.

  8. Die Erstellung des Schlüssels mit OK bestätigen.

  9. Auf OK klicken und erneut mit OK bestätigen, um die Erstellung des Server-Zertifikats abzuschließen.

  10. Die vorhergehenden Schritte entsprechend wiederholen, um die erforderliche Anzahl von Client-Zertifikaten zu erstellen.

Auf der Registerkarte Zertifikate in XCA auf vor dem CA-Zertifikat in der Übersicht klicken, um alle mit dieser CA erzeugten Zertifikate anzuzeigen.

2.4. Exportieren der Zertifikate und Schlüssel

Die mit XCA erzeugten Zertifikate und Schlüssel werden in der entsprechenden XCA-Datenbank aufbewahrt. Um die Zertifikate und Schlüssel auf die jeweiligen Router, Browser, etc. hochladen zu können, müssen diese exportiert werden. XCA bietet für den Export verschiedene Dateiformate an. Hier wird der Export in das Dateiformat PKCS#12 beschrieben, da dieses für alle INSYS Smart Devices geeignet sind. PKCS#12 ermöglicht zudem den Export von kompletten Schlüsselpaaren in einen Container, wodurch der Hochladeaufwand reduziert wird. Da auch die Zertifikatskette mit exportiert werden kann, muss das CA-Zertifikat nicht separat exportiert werden. Ein Passwortschutz kann verwendet werden.

Exportieren Sie niemals den privaten Schlüssel der CA, da dieser essentiell für die Sicherheit des VPN-Netzwerks ist.
  1. Zum Export eines Zertifikats und Schlüssels auf die Registerkarte Zertifikate wechseln, das zu exportierende Zertifikat in der Übersicht markieren und auf Export klicken.

  2. Im Fenster Zertifikatsexport einen Pfad und Dateinamen festlegen.

  3. PKCS#12 Kette als Exportformat auswählen und auf OK klicken.

  4. Im Fenster Passwort ein Passwort vergeben, wenn die Sicherheit der Übertragung der Zertifikatsdateien erhöht werden soll [5] und auf OK klicken, um das Zertifikat zu exportieren. [6]

  5. Die vorhergehenden Schritte entsprechend wiederholen, um alle gewünschten Zertifikate zu exportieren.

2.5. Zurückrufen von Zertifikaten mit Hilfe einer CRL

ist es möglich, eine Certificate Revocation List (CRL, Zertifikatssperrliste oder Rücknahmeliste) zu erzeugen, die zurückgerufene Zertifikate enthält. Wenn Zertifikate vor ihrem Ablaufdatum zurückgerufen werden müssen (beispielsweise wegen missbräuchlicher Verwendung), können sie in diese Liste eingetragen werden. Die jeweils aktualisierte Liste muss dann auf die Geräte, die den Zugriff kontrollieren, hochgeladen werden.

  1. Um ein Zertifikat zurückzurufen, auf die Registerkarte Zertifikate wechseln, das zurückzurufende Zertifikat in der Übersicht mit der rechten Maustaste anklicken und im Kontextmenü auf Rücknahme klicken.

  2. Im Fenster Zertifikatsrückzug die Ungültigkeitszeit einstellen, einen optionalen Rücknahmegrund angeben und auf OK klicken, um dieses Zertifikat zur CRL hinzuzufügen.

  3. Zum Erstellen einer CRL auf die Registerkarte Zertifikate wechseln, das CA-Zertifikat (!) mit der rechten Maustaste anklicken und im Kontextmenü CA CRL erstellen auswählen.

  4. Im Fenster CRL erstellen auf OK klicken, um die CRL zu erstellen.

  5. Die Erstellung der CRL mit OK bestätigen. [7]

  6. Zum Export einer CRL auf die Registerkarte Rücknahmelisten wechseln, die zu exportierende CRL in der Übersicht markieren und auf Export klicken.

  7. Im Fenster Rücknahmeliste exportieren einen Pfad und Dateinamen festlegen.

  8. PEM als Exportformat auswählen und auf OK klicken, um die CRL zu exportieren.

3. Fehlersuche

  • Systemdatum des Rechners prüfen, um sicherzustellen, dass die Zertifikate mit dem aktuellen Datum erstellt werden; ansonsten kann es sein, dass sie ungültig sind.


Zurück zu den Configuration Guides für die icom OS Smart Devices

Zurück zur Übersicht


1. Zertifikate haben ein Gültigkeitsdatum. Eine falsche Systemzeit (Uhrzeit und Datum) sind häufige Fehlerquellen. Achten Sie deshalb auf die korrekte Systemzeit im PC bei der Erstellung der Zertifikatsstruktur.
2. Es wird dringend empfohlen, ein Passwort anzugeben. Dieses Passwort gut merken. Es wird jedes Mal benötigt, wenn die Datenbank dieses CA-Projekts geöffnet wird.
3. Wählen Sie einen für Ihren Zweck angemessenen und sinnvollen Zeitraum. Die Vorgabewerte sind eine gute Richtlinie. Zu lange Zeitspannen können Sicherheits- oder Kompatibilitätsprobleme verursachen.
4. Damit haben Sie eine Vorlage für ein CA-Zertifikat angelegt. Beim Erstellen eines CA-Zertifikats unter Verwendung dieser Vorlage werden die entsprechenden Felder mit den hier eingegebenen Werten vorbelegt.
5. Wenn die Passwortfelder leer gelassen werden, wird kein Passwort verwendet.
6. Dies exportiert einen Zertifikats-Container, der das Zertifikat, den Schlüssel und die Zertifikatskette einschließlich CA-Zertifikat enthält.
7. Wenn nach Erstellen der CRL weitere Zertifikate zurückgerufen werden, muss diese neu erstellt werden.