CNG Provider - Zertifikate erstellen

Dieses Kapitel beschreibt die Erstellung von Zertifikaten mit OpenSSL und dem prime256v1-Algorithmus.

Die folgenden Zertifikate sind für kryptografische Operationen geeignet:

Das Root-Zertifikat erstellen

  1. Generieren Sie den Root-Key (ECDH_P256):

    openssl ecparam -name prime256v1 -genkey -out root.key

  2. Generieren Sie das Root-Zertifikat:

    openssl req -x509 -new -nodes -key root.key -sha256 -days 5840 -out root.crt -subj "/C=AT/ST=Burgenland/L=Eisenstadt/O=ETM professional control/OU=WinCC OA/CN=ETM CA" -addext "basicConstraints = CA:TRUE, pathlen:1" -addext "keyUsage=keyCertSign,cRLSign"

Das Host-Zertifikat erstellen

  1. Generieren Sie den Host-Schlüssel (ECDH_P256):

    openssl ecparam -name prime256v1 -genkey -out host.key

  2. Erstellen Sie die Signieranforderung für das Host-Zertifikat (CSR):

    openssl req -new -key host.key -out host.csr -subj "/C=AT/ST=Burgenland/L=Eisenstadt/O=ETM professional control/OU=WinCC OA/CN=www.etm.at" -addext "basicConstraints = CA:FALSE" -addext "keyUsage=digitalSignature,keyEncipherment"

  3. Signieren Sie das Host-Zertifikat mit dem Root-Zertifikat:

    openssl x509 -req -in host.csr -CA root.crt -CAkey root.key -CAcreateserial -out host.crt -sha256 -days 5840

Export von Zertifikaten im PFX-Format

  1. Exportieren Sie das Stammzertifikat in PFX:

    openssl pkcs12 -export -out root.pfx -inkey root.key -in root.crt -CSP "Microsoft Software Key Storage Provider" -passout pass:password123

  2. Exportieren Sie das Host-Zertifikat in PFX:

    openssl pkcs12 -export -out host.pfx -inkey host.key -in host.crt -CSP "Microsoft Software Key Storage Provider" -passout pass:password123

Output Files - Root-Zertifikat

  • root.key: Root privater Schlüssel.
  • root.crt: Root-Zertifikat.
  • root.pfx: Root-Zertifikat im PFX-Format.
    Note:
    Importieren Sie das Root-Zertifikat im PXX-Format in den Key Store Ihrer Wahl.

Output Files - Server-Zertifikat

  • host.key: Privater Schlüssel des Hosts.
  • host.crt: Von der Root signiertes Host-Zertifikat.
  • host.pfx: Host-Zertifikat im PFX-Format.
    Note:
    Importieren Sie das Host-Zertifikat im PFX-Format in den Key Store Ihrer Wahl.

Generelle Hinweise

Note:
Deaktivieren Sie beim Importieren des Zertifikats die Richtlinie zum Erzwingen des "Key Protection" in der Registry:
  1. Öffnen Sie den Registrierungseditor über das Startmenü, indem Sie regedit eingeben.
  2. Navigieren Sie zum folgenden Registrierungspfad: 
    Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography
  3. Setzen Sie den Wert von forcekeyprotection auf 0.

    Wenn Sie diese Einstellung nicht vornehmen, werden Sie von der grafischen Benutzeroberfläche jedes Mal zur Eingabe eines Kennworts aufgefordert, wenn der Zugriff auf den privaten Schlüssel erforderlich ist. Dies kann automatisierte Prozesse oder die nahtlose Verwendung von Schlüsseln beeinträchtigen.