X.509-Zertifikatsverwaltung

Mit diesem Fenster können Sie ein Webzertifikat für Server Administrator erstellen, importieren oder erneut verwenden.

ANMERKUNG: Diese Hilfeseite enthält unter Umständen Informationen über Funktionen, die nicht vom System unterstützt werden. Server Administrator zeigt nur die vom System unterstützten Funktionen an.

Nutzerberechtigungen

Tabelle 1. Nutzerberechtigungen
Auswahl Ansicht Managen
X.509-Zertifikatsverwaltung AdministratorIn AdministratorIn
ANMERKUNG: Weitere Einzelheiten zu Berechtigungsebenen für NutzerInnen finden Sie unter Berechtigungsebenen in der Server Administrator-GUI.

X.509-Zertifikatsverwaltung

Webzertifikate gewährleisten die Identität eines Remote-Systems und stellen sicher, dass die mit dem Remote-System ausgetauschten Informationen nicht von anderen einsehbar oder änderbar sind. Um die Systemsicherheit für Server Administrator sicherzustellen, wird dringend empfohlen, entweder ein neues X.509-Zertifikat zu erstellen, ein bestehendes X.509-Zertifikat erneut zu verwenden oder eine Zertifikatkette von einer Zertifizierungsstelle (CA) zu importieren.

Sie können ein Zertifikat zur Authentifizierung von Nutzerrechten für den Zugriff auf das System über ein Netzwerk oder für den Zugriff auf ein mit dem System verbundenes Storage-Gerät beantragen.

Optionsmenü für X.509-Zertifikate

Ein neues Zertifikat erstellen Erstellt ein neues selbstsigniertes Zertifikat, das für die SSL-Kommunikation zwischen dem Server, auf dem Server Administrator ausgeführt wird, und dem Browser verwendet wird.
ANMERKUNG:  Die meisten Webbrowser geben eine Warnung aus, dass dieses Zertifikat nicht vertrauenswürdig ist, wenn es nicht durch eine Zertifizierungsstelle (CA) signiert wurde, die vom Betriebssystem als vertrauenswürdig angesehen wird. Einige Browser-Sicherheitseinstellungen blockieren die selbstsignierten SSL-Zertifikate. Demnach erfordert die Web-UI von Server Administrator ein CA-signiertes Zertifikat für derart geschützte Browser.
Zertifikat-Pflege Ermöglicht die Erstellung einer Zertifikatsignierungsanforderung (CSR), die alle Zertifikatsinformationen über den Host enthält, damit die CA die Erstellung von einem vertrauenswürdigen SSL-Webzertifikat automatisieren kann. Sie können die erforderliche CSR-Datei entweder von einem spezifizierten Pfad oben auf der Seite oder durch das Kopieren des ganzen Texts im Textfeld und dessen Einfügen in das CA-Formular abrufen. Das Textformat muss in Base-64-verschlüsseltem Format vorliegen.
ANMERKUNG: Es steht Ihnen auch eine Option zur Verfügung, die Zertifikatinformationen anzuzeigen und das Zertifikat zu exportieren, das beim universellen Base 64-verschlüsselten Format, das auf andere Webservices importiert werden kann, verwendet wird.
Eine Zertifikatkette importieren Diese Option ermöglicht das Importieren der Zertifikatkette (im PKCS#7-Format), die von der vertrauenswürdigen Zertifizierungsstelle signiert wurde. Die Zertifikate können in DER- oder Base-64-verschlüsseltem Format vorliegen.
Importieren Sie einen PKCS12-Keystore Diese Option ermöglicht den Import eines PKCS#12-Keystore, der den Schlüssel und das Zertifikat ersetzt, die auf dem Server Administrator-Webserver verwendet werden.
ANMERKUNG: Eine Fehlermeldung wird angezeigt, wenn eine ungültige PKCS-Datei ausgewählt oder ein falsches Kennwort eingegeben wird.

Menü X.509-Zertifikaterstellung: Ein neues Zertifikat erstellen

Alias Ein Alias ist ein abgekürzter Keystore-spezifischer Name für eine Einheit, die ein Zertifikat im Keystore besitzt. Ein Nutzer kann für den öffentlichen und den privaten Schlüssel jeden beliebigen Aliasnamen zuweisen.
Schlüsselsignierungsalgorithmus Zeigt den unterstützten Signierungsalgorithmus an. Wählen Sie einen Algorithmus aus der Dropdownliste aus.
ANMERKUNG: Wenn Sie entweder SHA 512 oder SHA 256 auswählen, stellen Sie sicher, dass das Betriebssystem/Browser diesen Algorithmus unterstützt. Wenn Sie eine dieser Optionen auswählen, ohne dass die erforderliche Betriebssystem-/Browserunterstützung vorhanden ist, zeigt Server Administrator den Fehler cannot display the webpage an.
Schlüsselerstellungsalgorithmus Beschreibt den Algorithmus, mit dem das Zertifikat erstellt werden soll. Häufig verwendete Algorithmen sind RSA und DSA.
Schlüsselgröße Stärke der Verschlüsselung für den privaten Schlüssel. Der Standardwert beträgt 2048.
Gültigkeitszeitraum Zeitdauer in Tagen, für die das Zertifikat gültig ist.
Gemeinsamer Name (CN) Exakter Name des Host oder der Domain, die gesichert werden soll, zum Beispiel xyzcompany.com.
Organisation (O) Der vollständige Firmenname wie er in der Gründungsurkunde des Unternehmens erscheint oder bei den örtlichen Behörden registriert ist.
Organisationseinheit (OU) Geschäftsbereich des Unternehmens, welches das Zertifikat beantragt, zum Beispiel E-Commerce-Abteilung.
Ort (L) Der Name der Stadt oder des Ortes, an dem das Unternehmen eingetragen oder registriert ist.
Bundesland/Kanton (ST) Das Bundesland oder der Bezirk, in dem das Unternehmen eingetragen ist. Geben Sie den Namen genau an.
Land (C) Das aus zwei Buchstaben bestehende Länderkürzel; zum Beispiel US für die Vereinigten Staaten von Amerika oder UK für das Vereinigte Königreich.
Alternativer Antragstellername (SAN) Zeigt die alternativen Domänennamen an, die mit der Anfrage verknüpft sind, z. B. xyzcompany.com, abdcompany.com.

Menü X.509-Zertifikaterstellung: Zertifikat-Pflege

Zertifikate Dies ist der Name des verwendeten X.509-Zertifikats.
Wählen Sie die entsprechende Maßnahme aus.
  • Zertifikatsignierungsanforderung (CSR) : Mittels der Angaben im vorhandenen Zertifikat können Sie eine Zertifikatsanforderung erstellen.
    ANMERKUNG: Bevor Sie auf die Option Zertifikatsignierungsanforderung klicken, stellen Sie sicher, dass Sie ein Zertifikat mithilfe der Option Neues Zertifikat erstellen auf der Seite X.509-Zertifikatmanagement erzeugen.
  • Inhalt anzeigen: Inhalt des Zertifikats anzeigen. Diese Option liefert einen umfassenden Bericht, in dem die Komponenten des Zertifikats durch Parsing analysiert werden.
  • Zertifikat in BASE 64-verschlüsseltem Format exportieren: Ein vorhandenes Zertifikat zur Verwendung durch eine andere Anwendung exportieren. Um das Zertifikat als -Datei herunterzuladen und die Datei in einem von Ihnen ausgewählten Verzeichnis zu speichern, klicken Sie auf OK.

Inhalt des selbstsignierten X.509-Zertifikats

Zum Zeitpunkt der ersten Erstellung des Zertifikats werden Werte für die folgenden Felder erfasst:

Alias Ein Alias ist ein abgekürzter Keystore-spezifischer Name für eine Einheit, die ein Zertifikat im Keystore besitzt. Ein Nutzer kann für den öffentlichen und den privaten Schlüssel jeden beliebigen Aliasnamen zuweisen.
Erstellungsdatum Das Datum, an dem das vorhandene Zertifikat ursprünglich erstellt wurde.
Anbieter Der Standard-Zertifikatanbieter ist der Sun Microsystems Security Provider. Sun verfügt über eine Zertifikatstelle, die mit Zertifikaten vom Typ X509 arbeiten kann.
Zertifikatkette Vollständiges Zertifikat, dem das Stammzertifikat und die Antwort zugeordnet ist.

Kettenelement 1:

Wenn ein Nutzer die Zertifikatinhalte ansieht und Kettenelement 1:, nicht jedoch Kettenelement 2: in der Beschreibung vorfindet, handelt es sich bei dem vorhandenen Zertifikat um ein selbstsigniertes Zertifikat. Bezieht sich der Zertifikatinhalt auf Kettenelement 2:, besitzt das Zertifikat ein oder mehrere zugewiesene CAs.

Typ X.509
Version Version X.509.
Ist gültig Ob Server Administrator das Zertifikat für gültig hält (Ja oder Nein).
Betreff Name der Organisation, für die das Zertifikat ausgegeben wurde. Diese Organisation wird als „Antragsteller“ des Zertifikats bezeichnet.
Aussteller Name der Zertifizierungsstelle, die das Zertifikat signiert hat.
Alternativer Antragstellername Zeigt die alternativen Domänennamen an, die mit der Anfrage verknüpft sind.
Gültig ab Das erste Datum, an dem das Zertifikat verwendungsfähig ist.
Gültig bis Das letzte Datum, an dem das Zertifikat verwendungsfähig ist.
Seriennummer Eine eindeutige Nummer zur Identifizierung des Zertifikats.
Öffentlicher Schlüssel Öffentlicher Schlüssel des Zertifikats, d. h. der Schlüssel, der zum Antragsteller gehört, auf den das Zertifikat ausgestellt ist.
Algorithmus des öffentlichen Schlüssels RSA oder DSA.
Schlüsselverwendung Erweiterung zur Schlüsselverwendung, die den Zweck des Schlüssels angibt. Eine Schlüssel kann für digitale Signaturen, Schlüsselvereinbarungen, Zertifikatsignatur und mehr verwendet werden. Die Schlüsselverwendung ist eine Erweiterung zur X.509-Spezifikation und muss nicht in allen X.509-Zertifikaten vorhanden sein.
Signatur Die Identifikations-Digest einer Zertifizierungsstelle, die die Gültigkeit eines Zertifikats bescheinigt.
Signatur-Algorithmusname Der zur Erzeugung der Signatur verwendete Algorithmus.
Signatur-Algorithmus-OID Objekt-ID des Signatur-Algorithmus.
Signatur-Algorithmusparameter Der zur Erzeugung der Signatur verwendete Algorithmus, der das TBS-Zertifikat als Eingabe verwendet.
TBS-Zertifikat Textkörper des Zertifikats. Beinhaltet sämtliche im Zertifikat enthaltenen Namens- und Schlüsselinformationen. Das TBS-Zertifikat wird als Eingangsdaten des Signatur-Algorithmus verwendet, wenn das Zertifikat signiert oder verifiziert wird.
Basiseinschränkungen Ein X.509-Zertifikat kann eine optionale Erweiterung enthalten, die angibt, ob es sich beim Antragsteller des Zertifikats um eine Zertifizierungsstelle (CA) handelt. Falls es sich beim Antragsteller um eine CA handelt, gibt diese Erweiterung die Anzahl von Zertifikaten zurück, die in einer Zertifikatkette auf dieses Zertifikat folgen.
Eindeutige Antragsteller-ID Zeichenkette, die den Antragsteller des Zertifikats angibt.
Eindeutige Aussteller-ID Zeichenkette, die den Aussteller des Zertifikats angibt.
SHA1-Fingerabdruck Sicherer Hash-Algorithmus, ein kryptografischer Message Digest-Algorithmus, mit dem die Datenintegrität überprüft wird, indem eine Replikation des Digest oder Fingerabdrucks rechnerisch aufwändig wird, d. h. dass sich die Anstrengung nicht lohnt.
Codiertes Zertifikat Der Inhalt des Zertifikats in binärer Form.

Zertifikat Importieren: eine Zertifikatkette importieren

So importieren Sie eine Zertifikatkette, die Sie von einer CA erhalten haben:

  1. Geben Sie den Namen der Zertifikatdatei ein, die Sie importieren möchten, oder klicken Sie auf Durchsuchen, um nach der Datei zu suchen.
  2. Wählen Sie die Datei aus und klicken Sie auf Importieren.

Importieren von PKCS # 12

So importieren Sie das PKCS # 12-Serverzertifikat:

  1. Suchen Sie den Namen der PKCS # 12-Datei durch, die den Schlüssel und das Zertifikat des Webservers enthält.
  2. Geben Sie das Keystore-Kennwort ein.
  3. Klicken Sie auf Importieren.
Weitere Informationen zu den anderen Schaltflächen auf den Maßnahmen-Seiten des Server Administrators finden Sie unter Fensterschaltflächen des Server Administrators.