• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Zertifikat nach Windows exportieren

H

hoebel

Hallo zusammen,

ich möchte auf meinem Linux Rechenr ein CA erstellen und mit dieser ein Server- und ein Clientzertifikat erzeugen. Als Server dient der Linux PC, auf dem sich auc hdie CA befindet, als Client PC verwende ich einen Pc mit Windows XP Pro SP2.
Zum Erzeugen der Zertifikate verwende ich TinyCA2.
Das Erstellen der Zertifikate ist auch gar kein Problem. Nachdem die Zertifikate erstellt worden sind, exportiere ich das Clientzertifikat las pkcs12-Datei, um diese in Windows einbinden zu können. Außerdem wird die CA im der-Format exportiert.
Auf dem Windows-PC installiere ich zuerst die CA ohne Probleme.
Beim Installieren des Clientzertifikats tritt allerdings am Ende der Installation folgender Fehler auf:
" Ein interner Fehler ist aufgetreten. Entweder kann auf das Benutzerprofil nicht zugegriffen werden, oder der private Schlüssel, den sie importieren, erfordert möglicherweise einen Kryptografiedienstanbieter, der nicht installiert ist."

Kann mir jemand sagen, was ich falsch gemacht habe, bzw. eine Alternativlösung?

Danke schonmal für eure Antworten!

Gruß
 
/dev/null

/dev/null

Moderator
Teammitglied
Hi hoebel,

und willkommen im Forum!
Wenn ich das da wörtlich nehme: "Auf dem Windows-PC installiere ich zuerst die CA ohne Probleme." kommen bei mir die Fragen.

Du musst keinesfalls "die CA" exportieren und schon gar nicht auf irgend einem anderen Rechner installieren. (Vielleicht hast du dich auch nur falsch ausgedrückt?) Du solltest auch keinesfalls eine CA auf einem am Netz hängenden Rechner betreiben, aber das ist ein Sicherheits- und kein Betriebsproblem und hat somit auch keine ggw. Auswirkung auf deine Frage.

Prinzip:
1. Zertifikat = öffentlicher Schlüssel + Zertifikatsdaten (cn, Gültigkeit, Herausgeber usw.) + Signatur einer CA. p12 oder pfx ist eine so genannte Schlüsseldatei, also Zertifikat + privater Schlüssel, in der Regel Passwortgeschützt.

2. Du setzt eine CA auf, und da du sicherlich kein Signaturzertifikat von einem Trustcenter besitzt (teuer ...), signierst du es selbst. Es wird also ein so genanntes "selbstsigniertes Zertifikat" erzeugt und exportiert. Format: cer, der oder auch pem. Die ersten beiden sind eindeutig => nur das pure Zertifikat, bei pem KANN auch der private Schlüssel mit exportiert werden, Vorsicht!

3. Dieses Zertifikat importierst du auf allen Maschinen, mit denen du damit arbeiten willst unter "Herausgeberzertifikate" oder "vertrauenswürdige Zertifikate" oder ähnlich. Wichtig: Du musst immer bewusst das Vertrauen in dieses von Hause aus nicht vertrauenswürdige Zertifikat einstellen. Anderer Begriff: "Vertrauensanker".

4. Jetzt stellst du die Schlüsseldateien für alle anderen Maschinen her und exportierst diese sowie die dazugehörigen Zertifikate. Die Schlüsseldatei kommt auf den im cn genannten Rechner, das jeweilige Zertifikat auf die Gegenstelle(n).

Meine Vermutung: Punkt 3 ... .

Kleiner Tipp: Schau dir mal XCA an. Gefällt mir persönlich besser, weil ich dort auch Vorlagen anlegen kann. Mit voreingestellten Werten für Server-, Client- und Nutzerzertifikaten (S/MIME) usw. Außerdem kannst du dort sehr gut die Zertifikate und die Schlüsseldateien einschließlich des Herausgeberzeritifikates in jeweils einer einzigen Datei exportieren. Beim Import ist dann automatisch das Herausgeberzertifikat importiert.

MfG Peter
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben