CA ITCM-Sicherheitsfunktionen › Authentifizierung › Erstellen eines neuen Root-Zertifikats

Erstellen eines neuen Root-Zertifikats

Wenn Sie ein neues Root-Zertifikat erzeugen, müssen die folgenden beiden Formen des Zertifikats erstellt werden:

• Eine PKCS#12-codierte Datei. Sie enthält den öffentlichen Abschnitt des Zertifikats und den privaten Schlüssel.
• Eine DER-codierte Datei. Sie enthält lediglich den öffentlich zugänglichen Abschnitt des Zertifikats.

Beide Formen des Zertifikats werden zur gleichen Zeit wie das CA ITCM-Tool erzeugt. Wenn Sie eine externe PKI verwenden, kann das Root-Zertifikat in das DER-Format exportiert werden.

Das neue Root-Zertifikat ist von zentraler Bedeutung für die Sicherheit in CA ITCM. Daher muss es gegen versehentliche oder mutwillige Veröffentlichung geschützt werden. Die PKCS#12-Zertifikatdatei muss mit komplexem Kennwortschutz ausgestattet und in einem sicheren Verwaltungsdatenspeicher gespeichert werden.

Mit dem Zertifikat im PKCS#12-Format werden andere Zertifikate signiert. Mit dem Zertifikat im DER-Format werden diese signierten Zertifikate geprüft.

Der Befehl zum Erstellen eines neuen Root-Zertifikats hat folgendes Format:

cacertutil create -o:rootname.p12 -od:rootname.der -op:passphrase “-s:CN=YourRoot,O=YourOrg,C=Country” -d:NumberOfDays -oe

-o

Gibt die Ausgabe Dateiname für das PKCS#12-verpackte Zertifikat an.

-od

Gibt die Ausgabe Dateiname für das DER-codierte Zertifikat an.

-op

Gibt ein Kennwort zur Verschlüsselung der PKCS#12-Zertifikatdatei an.

-s

Legt das Subjekt des Zertifikats fest.

-d

Gibt die Lebensdauer des Zertifikats in Tagen an (z. B. 730 (= 2 Jahre)).

-oe

Erzeugt eine nach dem Zufallsprinzip verschlüsselte Version des Kennworts, mit dem das Zertifikat verschlüsselt und auf der Konsole ausgegeben wird. Dieses verschlüsselte Kennwort kann dem Zertifikat-Tool statt eines Nur-Text-Kennworts bereitgestellt werden.